Dit document bevat deel 2 (Gegevensbeheer) van de 2 samenvattingen van het vak computer Forensics en Gegevensbeheer.
de samenvatting is gebaseerd op de gegeven stof tijdens de lessen van dit vak.
Processtappen
1. Identificatie (verzamelen), op locatie kijken wat voor digitale-sporen er worden aangetroffen.
2. Veiligstellen (acquisitie), toestemming vragen om het spoor mee te nemen en veilig te stellen
en indien nodig op de juiste manier verpakken bijvoorbeeld met een harddisk.
3. Analyse (herstellen), het daadwerkelijke onderzoek.
4. Rapporteren (presenteren), het op papier zetten van de resultaten van je analyse en aan
iemand overdragen.
Deze 4 processtappen zijn een iteratief proces, dat wil zeggen dat het proces zich kan herhalen. Dit
gebeurd vaak bij de procestappen: identificatie en analyse.
Identificatie
In de identificatie fase leg je vast wat voor gegevensdragers van belang zijn voor je onderzoek.
Vluchtig geheugen wil zeggen dat als je de computer uitschakelt de gegevensdrager dan gewist
wordt, een voorbeeld van vluchtig geheugen is RAM-geheugen. Niet-vluchtig geheugen dat wilt
zeggen dat als de spanning van het apparatuur er wordt afgehaald, dan blijven de gegevens op de
gegevensdrager staan. Een voorbeeld van niet-vluchtig geheugen is HDD/SSD geheugen.
Er zijn verschillende formaten zowel qua vormgeving als capaciteit. Houdt er rekening mee dat 1
Gigabyte aan data ongeveer 20.000 A4 pagina’s aan informatie is.
Digitale sporen gaan continu door, een telefoon draait bijvoorbeeld gewoon door (sms’jes etc).
Vaak bij een tactische doorzoeking zijn ook digitale sporen. Digitale sporen kunnen ontstaan of
verdwijnen op een afgegrendeld PD.
Bij een doorzoeking is vaak een Rechter-Commissaris (RC) aanwezig, die toetst of alles wat de
aanklager en het onderzoeksteam op locatie doen of dat rechtmatig is en weegt de belangen af van
de verdachte en de aanklager samen. Op andere plaatsen zoals bij bedrijven is de Officier van Justitie
(OvJ) aanwezig. Daarnaast kan je met toestemming van een bewoner de woning binnentreden.
Stappenplan identificatie
1. Eigen veiligheid staat voorop!
2. Omgevingsscan:
- Hardware identificatie:
Welke gegevensdragers kunnen we identificeren voor digitale sporen.
De relevantie van die gegevensdragers met betrekking tot het onderzoek.
- Staat er apparatuur aan?
Ontgrendelen of ontgrendeld houden?
Spanning erop laten staan (én afschermen van verdachte/betrokkene).
3. Meterkast of ingangspunt digitale aansluiting is je startpunt.
- in een logische volgorde vertrekken of er digitale gevensdragers van belang zijn
(kruislings zoeken).
Identificatie richtlijnen en procedures
ACPO (Association of Police Chief Officers) een richtlijn uit het Verenigd Koninkrijk. In het VK is de
forensische wereld geprivatiseerd. Geen NFI maar private bedrijven. Belang van normen voor
kwaliteitswaarborging staat beschreven in de ACPO.
Good Practice Guide for Digital Evidence is een richtlijn voor het omgaan met digitale sporen.
ISO, ACPO & FT-normen zijn een regelgeving maar geen wetten (!) en je kunt er soms van afwijken. De
FT-norm “Schrijft voor dat data gedupliceerd wordt opgeslagen”.
1
, ACPO 4 basisregels:
- geen actie mag wijzigingen aanbrengen in digitale sporen.
- In sommige omstandigheden is het aanbrengen en wijzigen noodzakelijk, de
onderzoeker moet competent zijn en uitleg geven van alle bevindingen,
handelingen en gevolgen daarvan.
- Een audit trail of logboek van alle processen rondom digitale sporen wordt
bijgehouden. Een onafhankelijke partij kan hierdoor de processen en resultaten
verifiëren en reproduceren.
- De uitvoerend onderzoeker heeft de verantwoordelijkheid dat het onderzoek
volgens de geldende wet en regelgeving wordt uitgevoerd.
In het logboek leg je vast wie voert wanneer welke handelingen uit op het spoor vanaf PD of
doorzoeking tot lab en daarna (rechtbank?). het doel van een logboek is dat het zorgt voor
transparantie, reproduceerbaarheid en verantwoording. Dit doe je d.m.v. het schriftelijk vastleggen
van handelingen, en maak foto’s of video’s van handelingen.
Veiligstellen
Er wordt een kopie gemaakt van de gegevensdragers, zodra de gegevensdrager is gekopieerd dan
wordt die teruggeven aan het onderzoeksteam of verdachte. Gebruik voorzorgsmaatregelen, een
daarvan is het gebruik maken van een writeblocker. Een writeblocker zorgt er voor dat je wel kan
lezen vanaf de disk, dus er kan wel data in de computer komen. Maar zodra er data uit de computer
komt dan wordt dat tegengehouden door de writeblocker. Dat voorkomt dat je sporen maakt op een
gegevensdrager. Er kan niet altijd gebruik worden gemaakt van een writeblocker, bijvoorbeeld bij een
telefoon gebruik je geen writeblocker omdat je daar al vaak handelingen moet doen om die te
verbinden met je apparaat.
Het doel van het veiligstellen van de acquisitie is een forensische kopie maken van data, ook wel
‘image’ of ‘bit-to-bit kopie’ genoemd. Die forensische kopie maak je met bepaalde software. Dus je
hebt hardware nodig bij writeblocker en software bij om de kopie te maken. Een forensische kopie is
de basis voor verder digitaal onderzoek, en wordt volgens de normen voor kwaliteitswaarborging
gedaan. Bij voorkeur wordt de kopie gemaakt in een digitaal lab of anders op locatie.
Als er een ‘image’ is gemaakt dan ga je die valideren met een hash-berekening. Een hash-berekeing
wilt zeggen dat je een digitale vingerafdruk maakt van het bewijsmateriaal. Die vingerafdruk wijzigt
zodra er iets aan die kopie wijzigt. Wijzigt 1 bit dan wijzigt ook de hash-berekeing. De digitale
vingerafdruk moet gedurende het onderzoek hetzelfde blijven voor de bewaking van integriteit van
de data. Zo weet je dat je aan hetzelfde bewijs onderzoek doet.
2
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper nathalielans9. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €6,49. Je zit daarna nergens aan vast.
