Hoorcollege 1: Computer Forensics – 27 september 2021
§ Forensic Computing ~ Definitie & Begrip
Forensisch onderzoek
De wetenschap van (technisch) sporenonderzoek (op rechtmatige wijze) voor het verzamelen
van bewijsmateriaal om te presenteren voor het gerecht.
Digitaal forensisch onderzoek
De wetenschap van identificatie, veiligstellen, (herstel,) analyse en rapportage (presentatie)
van bewijsmateriaal uit digitale gegevensdragers.
Digitale sporen
→ Wordt snel gedacht aan computers, harde schijven, usb-sticks en cyber, maar ook aan een briefje
met een code erop.
- Je gaat opzoek naar alle digitale informatie die er te vinden is. Dit kan zijn dat je opzoek gaat
naar computers en telefoons waar chat- en mailverkeer op staat, maar het kunnen ook
briefjes zijn waar belangrijke informatie opstaat.
Onderwerp gebieden
Analyse achteraf om te kijken wat er nou precies gebeurd is
- Computer forensics → filesystem forensics (bestandssysteem van een computer, want een
computer slaat alles op een harde schijf op) & memory forensics (kijken naar het interne
geheugen)
- Mobile forensics → evolutie van computer naar mobile (steeds meer mensen gebruiken een
tablet/iPad of een telefoon, hier staat tegenwoordig steeds meer informatie op)
- Netwok forensics → interceptie van communicatieverkeer (onderscheppen van
communicatieverkeer. Je werkt steeds meer in de cloud/dropbox)
- Database forensics → in-depth filesystem forensics (alles wordt opgeslagen in een database
waar vervolgens specifiek in gezocht kan worden naar informatie)
- Device forensics → automotive & Internet of Things (apparaten die worden aangesloten op
het internet)
§ Forensic Computing ~ Expertise & Skills
Skills
- Technische skills.
- Leuk vinden om achter de computer te zitten.
- Leuk om aan de computer te sleutelen.
- Je moet jezelf continu willen ontwikkelen, omdat de digitale wereld zich heel snel
ontwikkeld.
- Je moet nieuwsgierig zijn.
- Je moet willen weten hoe iets zit en uitzoeken tot aan het bot.
- Je moet communicatie skills hebben, want je moet je gedachte aan bijvoorbeeld de rechter
kunnen vertellen.
• Wees nieuwsgierig, nauwkeurig, onderzoekend en (positief) kritisch.
• Vergt hard skills, maar ook soft skills. Communiceren op verschillende niveaus: RC, OvJ, VE,
SLT, rechercheur, manager of wetenschapper (NFI). Je moet het ook rapporteren en
presenteren om het diepgaande onderzoek in een rapport vastleggen en vervolgens te
kunnen presenteren aan het gerecht.
• Breed ICT spectrum: BIM, ITSM, SE, TI Electro, FO.
Technologische evolutie
Digital sporenpatroon veranderd continu
- ‘Bloed blijft bloed’, technologie verandert niet, maar sporenpatroon verandert én
technologie verandert.
, - Zowel in hardware als software. Hyves is vervangen door Facebook/Windows & is vervangen
door Windows 10/evolutie van Apple iPhone 1 t/m 12 (hardware versleuteling).
- Vergt continu persoonlijke ontwikkeling, want de wereld draait zeer snel door.
- Opleidingen en certificeringen, kan nationaal en internationaal.
Wetgeving/privacy
- Er wordt gewerkt voor het gerecht op rechtmatige wijze, dus je moet kennis hebben over de
geldende wetgeving.
- Computers en telefoons weten vaak meer over een persoon dan de familie over die persoon
weet.
Ethiek
- Is het toegestaan om een apparaat te hacken?
- Mag ik een Chinees device hacking gebruiken?
Objectiviteit
- Oordeel niet over schuld of onschuld waarbij je alleen je zintuigelijke waarnemingen
gebruikt. Het doel is namelijk niet om iemand achter de tralies te krijgen, maar de belangrijke
informatie over iemand laten zien.
Forensische richtlijnen
- ACPO (digitale forensische richtlijnen), NIST, FT-normen
§ Forensic Computing ~ Processtappen
1. Identificatie (verzamelen)
a. Op locatie kijken wat voor digitale sporen aanwezig zijn
b. Duurt ongeveer een dag
2. Veiligstellen (acquisitie)
a. Toestemming vragen om de digitale gegevensdragers mee te nemen
b. Hangt af van de grootte van gegevensdragers
3. Analyse (herstellen)
a. Kopie van de harde schijf maken en analyseren, hier vindt het werkelijke onderzoek
plaats
b. Kan weken tot maanden in beslag nemen
4. Rapporteren (presenteren)
a. Belangrijk, omdat de resultaten van de analysefase op papier gezet moet worden
Voorbeeld casus: Onderzoek Crevan
1. Identificatie
- Welk digitaal bewijs is er te vinden?
o Bouwkeet (dorp) → Microsoft Windows Server met MS Exchange
o Liebherr bouwkraan → SD-geheugenkaartje
o Stadion Video Monitoring Systeem → 50 HD camera’s, 25 TB storage
o Bouwtekeningen → op papier of online
- Kennis van (computer) hardware
o Fysieke onderdelen en/of apparaten
o Je bent op zoek naar gegevensdragers → vluchtig (RAM) & niet-vluchtig geheugen
(HDD/SSD)
o Verschillende formaten, zowel als vormgeving als capaciteit (1 GB = 20.000 A4
pagina’s)
,- Onderscheid ten opzichte van traditioneel FO
o Digitale kunnen door blijven gaan, ook al ligt er een dood persoon op de grond. Er
blijven appjes of andere meldingen binnen komen en kan gelocked zijn met een
vingerafdruk. Het is dan ook van belang om een digitaal specialist op het PD te
hebben.
o Vaak ook bij tactische onderzoeking, digitale sporen
o Digitale sporen kunnen ontstaan of verdwijnen op afgegrendeld PD
- Plaats delict versus doorzoeking
o In woning moet er toestemming gevraagd worden bij de Rechter-Commissaris, die
vaak ook fysiek aanwezig is.
o Op andere plaatsen, zoals bedrijven, moet er toestemming gevraagd worden aan de
Officier van Justitie.
o Er moet ook toestemming van de bewoner zijn.
- Doorzoeking digitaal stappenplan
1. Eigen veiligheid
a. Bijvoorbeeld kantoorruimtes
2. Omgevingsscan
a. Hardware identificatie → Welke gegevensdragers kunnen
geïdentificeerd worden voor digitale sporen? Relevantie van
gegevensdragers met betrekking tot onderzoek
b. Staat apparatuur aan of uit? → Voorzorgsmaatregelen → Ontgrendelen
of ontgrendeld houden? Spanning erop laten staan of niet?
3. Meterkast of ingangspunt digitale aansluiting startpunt
a. Logische volgorde vertrekken (kruislings zoeken, ene college linksom de
ander rechtsom en elkaar dus kruist zodat je elkaar nog even
controleert)
4. Koffer
a. Gereedschap → schroevendraaiers, torx, kniptang, mes, UTP-kabels,
zaklamp, klok, camera
b. Electro Statistic Discharge → ESD-apparatuur, grip, zakken, labels,
handschoenen.
c. Gegevensdragers (leeg) → HDD, USB-stick, SD, MMC, CF-kaart, CD, DVD
5. Noteboook, USB-stick
a. Software → Windows/Linux/OSX
b. Software tools → dump-it (RAM), FTK Imager Lite
6. ACPO → richtlijnen en procdures → belang van normen voor
kwaliteitswaarborging
a. Geen actie mag wijzigingen aanbrengen in de digitale sporen.
b. In sommige omstandigheden is het aanbrengen van wijzigingen
noodzakelijk, de onderzoeker moet competent zijn en uitleg geven van
alle bevindingen, handelingen en gevolgen daarvan.
c. Een audit trail of logboek van alle processen rondom digitale sporen
wordt bijgehouden. Een onafhankelijk partij kan hierdoor de processen
en resultaten verifiëren en reproduceren.
d. De uitvoerend onderzoeker heeft de verantwoordelijkheid dat het
onderzoek volgens de geldende wet- en regelgeving wordt uitgevoerd.
7. ISO, ACPO, & FT-normen
a. Regelgeving, maar geen wetten
b. Je kunt en moet er soms van afwijken
8. Logboek van onderzoeksproces
a. Wie voert wanneer welke handeling uit op het spoor van PD of
doorzoeking tot lab en daarna
, 9. Doel
a. Transparantie/reproduceerbaarheid/verantwoording
10. Hoe?
a. Schriftelijk vastleggen van handelingen, maak foto’s en video’s
2. Veiligstellen
- Writeblocker → zorgt ervoor dat je wel kan lezen vanaf de disk, dus je kan wel heen, maar
niet terug. Wat voorkomt dat er sporen op de gegevensdrager wordt gezet. Je kan niet altijd
een writeblocker gebruiken, bij een telefoon kan dat namelijk niet, maar bij een harddisk of
een usb-stick wel.
- Doel → forensische kopie maken van data, ook wel ‘image’ of ‘bit-to-bit-kopie’ genoemd.
- Forensische kopie → basis voor digitaal onderzoek volgens de normen voor
kwaliteitswaarborging en wordt bij voorkeur gemaakt in een digitaal lab of anders op locatie.
o Specifieke hard- en/of software → writeblockers die wel kan lezen van
gegevensdrager, maar niet schrijven naar gegevensdrager. Voorbeelden hiervan zijn
het bridge (source-to-host) en de duplicator (source-to-disk)
o Valideren met hash-berekening → een digitale vingerafdruk wordt gemaakt en moet
gedurende het onderzoek hetzelfde blijven voor bewaking van integriteit van de
data.
o Eventueel compressie en versleuteling van data.
- Stappenplan Offline Computer veiligstellen
1. Object identificeren (op locatie) → fotograferen, kenmerken vastleggen, labelen
2. Gegevensdrager(s) uit object verwijderen → fotograferen, kenmerken
vastleggen
3. Per gegevensdrager aansluiten op writeblocker → bridge of duplicator
4. Met software forensische kopie maken → kenmerken vastleggen, hashes
verifiëren
5. Object datum/tijd controle → kenmerken vastleggen
6. Gegevensdragers weer in object plaatsen
Hoorcollege 2: Computer Forensics – 04 oktober 2021
§ Interpretation of Raw Data ~
Noodzakelijk in digitaal forensisch onderzoek
- Sommige applicaties (viewers) geven fouten bij het lezen of weergeven van data.
- Handmatig dezelfde resultaten kunnen bereiken met tools zoals Encase, X-Ways Forensics of
Autopsy.
- Herstellen van data ook wanneer deze data (gedeeltelijk) is vernietigd.
-
- ^ Zo ziet ruwe data eruit. Met als eerste kolom de opzet, als het ware de navigatie van het
systeem en daarnaast staat de ruwe data. Wordt weergegeven in hexadecimale cijfers.