Met metadata alleen kom je al een heel eind

Door Robert Metsemakers 28 mei 2019

In een scene uit een niet-bestaande Nederlandse politieserie geef ik een voorbeeld hoe uit louter metadata over telefoonverkeer toch veel over de gepsreksinhoud is af te leiden.

Commissaris van Dalen kwam de vergaderruimte binnen en riep: “Deksels!” Inspecteurs Smid en Pietersen keken elkaar aan: de ouwe was normaal gesproken korter en directer in zijn woordkeus bij tegenvallers. Dit kon alleen maar betekenen dat hij 'boven' bij Jurza of de korpsleiding formeel bot had gevangen en dat het tapverzoek op de telefoon van crimineel K. was afgewezen. “We mogen niet tappen, we krijgen alleen meta”, mopperde Van Dalen. Uit zijn houding en de minachting waarmee hij een USB-stick van zich afwierp, bleek dat hij niet precies wist wat meta was, maar dat de kwaliteit ervan uitermate teleurstellend zou zijn. De USB-stick schoof tollend over de gladde vergadertafel en kwam tot stilstand op de plek waar Cor Maassen had moeten zitten, als data-analist van de afdeling Opsporing.

Net toen Van Dalen wilde opstaan om te kijken waar Cor bleef, kwam deze binnen met in zijn linkerhand een mok hete koffie en Donna in zijn rechterhand. Donna was een 10 inch mini-laptop, volgestopt met intern geheugen, een bloedsnelle SSD en een 8 jaar oude, tragere processor. Maar omdat Cor dat ding altijd bij zich had, dacht hij toch 10 minuten sneller te zijn dan de collega’s die ‘nog even hun laptop moesten halen'. Of zelfs een hele nacht sneller ten opzichte van de collega’s die zeiden: “Shit, ik heb mijn laptop op bureau gelaten. Dan morgen maar.”

Cors ogen glinsterden toen hij de USB-stick zag liggen. Hij stopte het ding in zijn laptop en opende Excel. Cor werd, vanwege zijn voorkeur voor het gelijknamige bestandsuitwisselingsformaat, vaak ‘CSV’ genoemd. Terwijl Cor het bestand omvormde naar kolommen in de eerste tab van een eerder gemaakte spreadsheet, begon Van Dalen te tieren: “We mogen die hufter niet tappen en zijn familie al helemaal niet. Belt hij ook nog met een buitenlands nummer! Sinds de tarieven in heel Europa hetzelfde zijn, kan je net zo makkelijk met een buitenlands nummer in Nederland bellen. We hebben alleen metadata gekregen over de kinderen, daar heb je dus helemaal geen zak aan!”

“Nou”, zei Cor, die niet bekend stond om zijn gevoel voor politieke tact, “dat valt wel mee. Zijn het alleen de belgegevens van afgelopen maand en alleen die van de oudste dochter?”, vroeg hij op basis van wat hij op zijn scherm zag. Gebelde nummers, datum, tijdstip en gespreksduur stonden overzichtelijk in kolommen op de eerste tab van het spreadsheet.

Op de tweede tab waren dezelfde gegevens anders gerangschikt, op totale gespreksduur per gekozen nummer. Op een andere tab waren de nummers per datum gesorteerd en de vierde tap toonde een grafiek van de populaire beluren. Vooral 's avonds werd veel gebeld, van 22.00 tot 23:45 uur was er weinig verkeer en daarna nog één of twee korte gesprekken of WhatsAppjes, kort voor het slapen gaan.

“Bevestigend”, zei van Dalen, terwijl hij de tabel met nummers die vaak gebeld waren bekeek. Hij mopperde toen: “Wie heeft ze eergisteren zo lang gebeld? 70 minuten? Meer dan de meeste mensen in een maand bellen. Mijn hele abonnement is maar 60 minuten per maand.”

Inspecteur Smid vroeg Cor: “Heb je dat nummer al gepleurd?” Pleuren was de term op de afdeling voor het gebruik van PLEUR, een database die Cor had gebouwd op Donna. Alle telecomproviders in Nederland geven maandelijks hun klantbestand door, met telefoonnummer, naam, voornaam, geboortedatum, geslacht, adres en woonplaats van al hun klanten. Doordat Cor bij het inlezen alle records aanvulde met een date-stamp, had hij een historisch bestand opgebouwd in de 10 jaar dat deze informatiestroom bestond. Hij kon zien welke mobiele nummers een persoon op enig moment had of had gehad, op welke adressen die nummers geregistreerd waren en soms zelfs welke gebruikers na elkaar hetzelfde nummer hadden gehad.

Het systeem was niet honderd procent foutloos, want het bevatte alleen maandultimo’s. Ook klopt de omrekening van begincijfers van een mobiel nummer naar de telecomprovider niet altijd, doordat bellers via nummerportabiliteit hun nummer konden meenemen. Maar meestal was PLEUR een handig ‘reverse engineering’-tool.

Cor typte het telefoonnummer over in PLEUR en zei: “Andere achternaam, hetzelfde geboortejaar, andere woonplaats” en zocht die achternaam op Facebook op. Op een foto stonden twee vrouwen in uitgelaten stemming. Uit de Facebookpagina bleek dat ze beiden lid waren van hetzelfde studentendispuut. Op de foto droegen ze een trui met het dispuutslogo. Uit de historie van het gekozen nummer bleek dat beide nummers enkele jaren geleden op hetzelfde adres waren geregistreerd. “Een studievriendin, verhuisd naar andere stad”, concludeerde hij.

Uit het rijtje nummers van de afgelopen maand bleek verder dat het nummer vrijwel dagelijks meerdere keren kort werd gebeld, maar nooit 70 minuten. “De meeste vrouwen bellen alleen zo lang met hun moeder”, bromde van Dalen. “Die heeft ze óók gebeld”, reageerde Cor, “en wel meteen erna.” Ongeveer 10 minuten duurde dat gesprek. En daarna was er nóg een gesprek van enkele minuten, naar een nummer dat in de maand ervoor nog geen enkele keer gekozen was. Vreemd om rond 23:30 nog naar een wildvreemde te bellen.

Cor pleurde het nummer en zag dat het een man was, ongeveer 10 jaar ouder dan de dochter. Op LinkedIn zocht hij hem op. De dochter was met hem geconnect. Niet zo vreemd als zijn management-assistent. Opvallend was wel dat hun werkrelatie helemaal niet bleek uit de Facebookaccounts van beiden. Van Dalen maakte zich opeens zorgen. “Zien die lui dat jij hen zoekt op Facebook? Ik krijg zelf weleens een melding dat iemand mij heeft opgezocht.” Cor schudde zijn krullen. Nee, want op Facebook was hij Olga en 18 jaar oud. “Ze delen hun relatie niet op Facebook, maar wel op LinkedIn”, stelde hij droog vast en vervolgde: “Ik denk dat ze per abuis hem met haar privételefoon op zijn zakelijke nummer heeft gebeld en daarna meteen haar telefoon heeft uitgezet. Althans, er zijn geen gesprekken meer, tot de volgende ochtend 8:00 uur.”

Inmiddels stonden de drie mannen over de schouders van Cor mee te kijken naar het minuscule beeldschermpje. Cor pleurde het nummer dat de volgende ochtend om 8:00 gebeld was. Het bleek een geboortebeperkingskliniek. “Misschien wil ze een spreekbeurt houden en zoekt ze informatie”, grapte Smid op zijn sardonische wijze die niet altijd door iedereen meteen werd begrepen. Cor keek

niet-begrijpend opzij en schudde zijn hoofd. “Nee, want het is niet het algemene informatienummer, ze belde de afsprakenlijn en meteen daarna weer haar moeder.” De drie zessen in het nummer waren herkenbaar genoeg, daar was geen PLEUR meer voor nodig.

“Goed”, zei inspecteur Cees Pietersen toen. “De zaak is voor mij helder. De oudste dochter van K. heeft, sinds ze daar ongeveer twee jaar geleden ging werken, een buitenechtelijke relatie met haar baas, die volgens zijn Facebook getrouwd is en al twee kinderen heeft. De dochter was zwanger van die vent, heeft uitgebreid besproken met haar BFF wat dit zou betekenen voor haar leven en carrière en nog belangrijker: wat haar pa, die wij allemaal kennen, ervan zou vinden. Daarna heeft ze haar moeder gebeld of die haar naar de abortuskliniek kan brengen en na de ingreep weer kan terugrijden. Toen dat geregeld was, heeft ze die zak gebeld en het telefonisch uitgemaakt. Definitief, want ze heeft daarna de telefoon compleet uitgezet. Ze is in elk geval goed over de emmer, want per ongeluk heeft ze zijn zakelijke nummer gebeld in plaats van zijn privénummer. En ze belden altijd privé om het geheim te houden.”

Rudi Smid plaatste een foute grap. “Van 22:00 tot 23:45 belden ze nooit, dan wipte hij zeker eventjes langs?” Niemand lachte. Ondertussen pleurde Cor een ander veel gekozen nummer uit de lijst en dit bleek inderdaad op naam van de man te staan. Volgens de begincijfers was het een kleine provider, dus waarschijnlijk was het een privénummer, want organisaties in Nederland gebruiken zakelijk meestal één van de grotere providers.

“Gisteren ging ze met haar moeder naar die kliniek. Dat verklaart dat het toestel de hele dag uit stond.” Cor beaamde dat dit logisch klonk en suggereerde: “We kunnen meer metadata opvragen, want providers weten ook bij welke GSM-paal die telefoonnummers waren tijdens het gesprek. Dan kunnen we via triangulatie helemaal zeker pinpointen waar ze waren.”

Maar voor commissaris Van Dalen was het al genoeg. “Kom Pietersen, dan gaan we bij K. langs. Eens kijken hoe hij reageert als hij hoort dat hij toch geen opa wordt. Misschien gaat hij stuk. En anders gaat hij mogelijk zelf op hoge poten naar die manager. Dan laten we een AT hem bij dat adres oppakken voor een ‘geweldje’. Zien we wel of hij na een dagje binnen bij ons toch begint te zingen.”

Terwijl het duo gehaast naar buiten liep, zei Smid tegen Cor: “Nu een bakkie echte pleur. En eigenlijk niet zo erg dat we vanwege de AVG geen tapvergunning kregen. Met een beetje metadata en jouw aanvullend historisch inzicht kom je als agent ook een heel eind. Meten is weten, maar met ongeveer bereik je méér.” Lachend klapte Cor Donna dicht (na het saven van de spreadsheet) en ze kuierden naar de koffieautomaat.

Metadata kan in combinatie met openbare data en historische metadata privacygevoelig zijn.

Auteursgegevens

Robert is als ervaren IT auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com.