Samenvatting Forensisch onderzoek - Computer forensics en Gegevensbeheer
6 views 1 purchase
Course
Computer Forensics en Gegevensbeheer
Institution
Saxion Hogeschool (Saxion)
Dit document bevat deel 2 (Gegevensbeheer) van de 2 samenvattingen van het vak computer Forensics en Gegevensbeheer.
de samenvatting is gebaseerd op de gegeven stof tijdens de lessen van dit vak.
Processtappen
1. Identificatie (verzamelen), op locatie kijken wat voor digitale-sporen er worden aangetroffen.
2. Veiligstellen (acquisitie), toestemming vragen om het spoor mee te nemen en veilig te stellen
en indien nodig op de juiste manier verpakken bijvoorbeeld met een harddisk.
3. Analyse (herstellen), het daadwerkelijke onderzoek.
4. Rapporteren (presenteren), het op papier zetten van de resultaten van je analyse en aan
iemand overdragen.
Deze 4 processtappen zijn een iteratief proces, dat wil zeggen dat het proces zich kan herhalen. Dit
gebeurd vaak bij de procestappen: identificatie en analyse.
Identificatie
In de identificatie fase leg je vast wat voor gegevensdragers van belang zijn voor je onderzoek.
Vluchtig geheugen wil zeggen dat als je de computer uitschakelt de gegevensdrager dan gewist
wordt, een voorbeeld van vluchtig geheugen is RAM-geheugen. Niet-vluchtig geheugen dat wilt
zeggen dat als de spanning van het apparatuur er wordt afgehaald, dan blijven de gegevens op de
gegevensdrager staan. Een voorbeeld van niet-vluchtig geheugen is HDD/SSD geheugen.
Er zijn verschillende formaten zowel qua vormgeving als capaciteit. Houdt er rekening mee dat 1
Gigabyte aan data ongeveer 20.000 A4 pagina’s aan informatie is.
Digitale sporen gaan continu door, een telefoon draait bijvoorbeeld gewoon door (sms’jes etc).
Vaak bij een tactische doorzoeking zijn ook digitale sporen. Digitale sporen kunnen ontstaan of
verdwijnen op een afgegrendeld PD.
Bij een doorzoeking is vaak een Rechter-Commissaris (RC) aanwezig, die toetst of alles wat de
aanklager en het onderzoeksteam op locatie doen of dat rechtmatig is en weegt de belangen af van
de verdachte en de aanklager samen. Op andere plaatsen zoals bij bedrijven is de Officier van Justitie
(OvJ) aanwezig. Daarnaast kan je met toestemming van een bewoner de woning binnentreden.
Stappenplan identificatie
1. Eigen veiligheid staat voorop!
2. Omgevingsscan:
- Hardware identificatie:
Welke gegevensdragers kunnen we identificeren voor digitale sporen.
De relevantie van die gegevensdragers met betrekking tot het onderzoek.
- Staat er apparatuur aan?
Ontgrendelen of ontgrendeld houden?
Spanning erop laten staan (én afschermen van verdachte/betrokkene).
3. Meterkast of ingangspunt digitale aansluiting is je startpunt.
- in een logische volgorde vertrekken of er digitale gevensdragers van belang zijn
(kruislings zoeken).
Identificatie richtlijnen en procedures
ACPO (Association of Police Chief Officers) een richtlijn uit het Verenigd Koninkrijk. In het VK is de
forensische wereld geprivatiseerd. Geen NFI maar private bedrijven. Belang van normen voor
kwaliteitswaarborging staat beschreven in de ACPO.
Good Practice Guide for Digital Evidence is een richtlijn voor het omgaan met digitale sporen.
ISO, ACPO & FT-normen zijn een regelgeving maar geen wetten (!) en je kunt er soms van afwijken. De
FT-norm “Schrijft voor dat data gedupliceerd wordt opgeslagen”.
1
, ACPO 4 basisregels:
- geen actie mag wijzigingen aanbrengen in digitale sporen.
- In sommige omstandigheden is het aanbrengen en wijzigen noodzakelijk, de
onderzoeker moet competent zijn en uitleg geven van alle bevindingen,
handelingen en gevolgen daarvan.
- Een audit trail of logboek van alle processen rondom digitale sporen wordt
bijgehouden. Een onafhankelijke partij kan hierdoor de processen en resultaten
verifiëren en reproduceren.
- De uitvoerend onderzoeker heeft de verantwoordelijkheid dat het onderzoek
volgens de geldende wet en regelgeving wordt uitgevoerd.
In het logboek leg je vast wie voert wanneer welke handelingen uit op het spoor vanaf PD of
doorzoeking tot lab en daarna (rechtbank?). het doel van een logboek is dat het zorgt voor
transparantie, reproduceerbaarheid en verantwoording. Dit doe je d.m.v. het schriftelijk vastleggen
van handelingen, en maak foto’s of video’s van handelingen.
Veiligstellen
Er wordt een kopie gemaakt van de gegevensdragers, zodra de gegevensdrager is gekopieerd dan
wordt die teruggeven aan het onderzoeksteam of verdachte. Gebruik voorzorgsmaatregelen, een
daarvan is het gebruik maken van een writeblocker. Een writeblocker zorgt er voor dat je wel kan
lezen vanaf de disk, dus er kan wel data in de computer komen. Maar zodra er data uit de computer
komt dan wordt dat tegengehouden door de writeblocker. Dat voorkomt dat je sporen maakt op een
gegevensdrager. Er kan niet altijd gebruik worden gemaakt van een writeblocker, bijvoorbeeld bij een
telefoon gebruik je geen writeblocker omdat je daar al vaak handelingen moet doen om die te
verbinden met je apparaat.
Het doel van het veiligstellen van de acquisitie is een forensische kopie maken van data, ook wel
‘image’ of ‘bit-to-bit kopie’ genoemd. Die forensische kopie maak je met bepaalde software. Dus je
hebt hardware nodig bij writeblocker en software bij om de kopie te maken. Een forensische kopie is
de basis voor verder digitaal onderzoek, en wordt volgens de normen voor kwaliteitswaarborging
gedaan. Bij voorkeur wordt de kopie gemaakt in een digitaal lab of anders op locatie.
Als er een ‘image’ is gemaakt dan ga je die valideren met een hash-berekening. Een hash-berekeing
wilt zeggen dat je een digitale vingerafdruk maakt van het bewijsmateriaal. Die vingerafdruk wijzigt
zodra er iets aan die kopie wijzigt. Wijzigt 1 bit dan wijzigt ook de hash-berekeing. De digitale
vingerafdruk moet gedurende het onderzoek hetzelfde blijven voor de bewaking van integriteit van
de data. Zo weet je dat je aan hetzelfde bewijs onderzoek doet.
2
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller nathalielans9. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $6.96. You're not tied to anything after your purchase.