naarmate meer en meer gebruikers mobiel worden en onderling verbonden apparaten gebruiken, staan computers vaak centraal bij incidenten en onderzoeken. Bewijs voor discussie in een rechtbank wordt vaak verzameld dankzij de vaardigheden van digitale forensische experts die cruciale gegevens kunnen halen uit elektronische apparaten van de betrokken partijen. Law officials soms afhankelijk van de getuigenis van computer forensische analisten gespecialiseerd in e-discovery; deze deskundigen worden opgeroepen om direct samen te werken met politieagenten en detectives om te helpen bij het identificeren, conserveren, analyseren en presenteren van digitale bewijs om te helpen bij het oplossen van misdaadgevallen.
het doel van dit artikel is een overzicht te geven van Forensische informatica en de methoden die worden toegepast bij de verwerving van digitaal bewijsmateriaal uit computersystemen en mobiele apparaten voor de analyse van informatie die betrokken is bij strafrechtelijk onderzoek. Het gaat ook over de nieuwste forensische uitdagingen: mobiel forensisch, cloud forensisch en anti-forensisch.De taak van de forensische experts is om “criminelen te helpen identificeren en bewijs tegen hen te analyseren”, zegt Hall Dillon in een career outlook post voor het U. S. Bureau of Labor Statistics.
opgeleide en geschoolde personen werken voor de openbare rechtshandhaving of in de particuliere sector om taken uit te voeren die verband houden met het verzamelen en analyseren van digitaal bewijsmateriaal. Ze zijn ook verantwoordelijk voor het schrijven van zinvolle rapporten voor gebruik in onderzoeks-en juridische omgevingen. Naast het werken in laboratoria passen forensische experts digitale onderzoekstechnieken toe op het gebied van het blootleggen van metadata die van belang zijn in een rechtbank.
de huidige forensische computeranalisten zijn in staat om gegevens te herstellen die zijn verwijderd, versleuteld of verborgen zijn in de plooien van de technologie van mobiele apparaten; ze kunnen worden opgeroepen om te getuigen in de rechtbank en het bewijs dat tijdens onderzoeken is gevonden te relateren. Zij kunnen betrokken zijn bij uitdagende zaken, zoals de verificatie van alibi’ s van overtreders, onderzoek van Internetmisbruik, misbruik van computerhulpbronnen en netwerkgebruik bij het maken van computergerelateerde bedreigingen. Forensische experts kunnen worden ingeschakeld om grote gevallen van datalekken, inbraken of andere soorten incidenten te ondersteunen. Door technieken en propriëtaire software Forensische toepassingen toe te passen om systeemapparaten of platforms te onderzoeken, kunnen ze belangrijke ontdekkingen leveren om vast te stellen wie verantwoordelijk was/waren voor een onderzochte misdaad.
de snel groeiende discipline computer forensics is uitgegroeid tot haar eigen gebied van wetenschappelijke expertise, met begeleidende training en certificeringen (CCFE, CHFI). Volgens Computer Forensics World, een gemeenschap van professionals die betrokken zijn bij de digitale forensische industrie, zijn de gecertificeerde personen op dit gebied verantwoordelijk voor de identificatie, verzameling, verwerving, authenticatie, bewaring, onderzoek, analyse en presentatie van bewijs voor vervolging doeleinden.Het forensische computerproces
het doel van een forensisch computeronderzoek is het terughalen van gegevens van computers die in beslag zijn genomen als bewijs in strafrechtelijk onderzoek. Deskundigen gebruiken een systematische aanpak om bewijsmateriaal te onderzoeken dat tijdens de procedure aan de rechter kan worden voorgelegd. Forensische deskundigen moeten in een vroeg stadium bij een onderzoek worden betrokken, omdat zij kunnen helpen bij het correct verzamelen van technisch materiaal op een manier die het mogelijk maakt de inhoud te herstellen zonder enige schade aan de integriteit ervan.
forensisch onderzoek kan vele (of alle) van de volgende stappen omvatten:
- verzamelen-zoeken en in beslag nemen van digitaal bewijsmateriaal, en verzamelen van gegevens
- onderzoek – toepassen van technieken om gegevens te identificeren en te extraheren
- Analyse-gebruik van gegevens en middelen om een zaak aan te tonen
- rapportage – presenteren van de verzamelde informatie (bijv. schriftelijke case report)
Bill Nelson, een van de bijdragende auteurs van de Guide to Computer Forensics and Investigations (derde ed.) boek, benadrukt het belang van de drie A ‘ s van Computer Forensics: verwerven, authenticeren en analyseren. Hij zegt dat de computer forensische proces, in feite impliceert het nemen van een systematische aanpak, die een eerste beoordeling omvat, het verkrijgen van bewijs en het analyseren ervan, tot het voltooien van een case report (2008, pp.32-33).Forensische zaken lopen sterk uiteen; sommige hebben te maken met computerintreders die gegevens stelen; andere hebben betrekking op hackers die inbreken in websites en DDoS-aanvallen lanceren, of proberen toegang te krijgen tot gebruikersnamen en wachtwoorden voor identiteitsdiefstal met frauduleuze bedoelingen, zegt de FBI. In sommige gevallen gaat het om cyberstalking of overtreders die verboden sites bezoeken (bijv. kinderpornografische websites). Een forensisch onderzoeker kan het cyber-spoor van de dader onderzoeken.
ongeacht de reden van het onderzoek, volgen de analisten stapsgewijze procedures om ervoor te zorgen dat de bevindingen deugdelijk zijn. Zodra een strafzaak open is, worden computers en andere digitale mediaapparatuur en software in beslag genomen en / of onderzocht op bewijs. Tijdens het opvragen worden alle essentiële items verzameld om de forensisch analist te geven wat hij/zij nodig heeft om in de rechtbank te getuigen.
dan is het tijd om gegevens te extraheren en te analyseren. Een computer forensisch onderzoeker houdt rekening met de 5Ws (Wie, Wat, Wanneer, Waar, waarom) en hoe een computermisdaad of incident heeft plaatsgevonden. Aan de hand van standaard evaluatiecriteria kan de examinator beveiligings-gerelateerde fouten identificeren in een netwerkomgeving op zoek naar verdacht verkeer en elke vorm van inbraken, of ze kunnen berichten, gegevens, foto ‘ s en andere informatie verzamelen die uniek kunnen worden toegeschreven aan een specifieke gebruiker die betrokken is bij een zaak.
het forensische proces omvat ook het schrijven van rapporten. Computer forensische examinatoren zijn verplicht om dergelijke rapporten te maken voor de advocaat om Beschikbaar feitelijk bewijs te bespreken. Het is belangrijk om forensisch bewijs voor te bereiden voor getuigenissen, vooral wanneer zaken voor de rechter komen en de examinator wordt opgeroepen als Technisch/wetenschappelijk getuige of deskundige getuige.
manieren om forensisch bewijs te verkrijgen
traditioneel werden forensische computeronderzoeken uitgevoerd op gegevens in rust, bijvoorbeeld door de inhoud van harde schijven te onderzoeken. Wanneer een forensisch wetenschapper verdere analyse nodig had (zoals het uitvoeren van beeldvorming—het kopiëren van harde schijven, flash drives, schijven, enz.), werd het normaal gedaan in een gecontroleerde laboratoriumomgeving. Dode analyse (ook bekend als dode forensische overname of gewoon statische overname) is het bezit van gegevens die wordt uitgevoerd op computers die zijn uitgeschakeld. Met andere woorden, het gaat om onderzoeken van het systeem (en delen ervan) in rust (dood). De live-analysetechniek, in plaats daarvan, omvat het verzamelen van gegevens van een systeem alvorens het af te sluiten. Een dode analyse wordt noodzakelijk geacht om ook de tijd te hebben om fysiek bewijs zoals DNA (vingerafdrukken op apparatuur) op te halen; echter, het is live acquisitie in het veld dat momenteel de aandacht van forensische experts is.
het uitvoeren van een “live-analyse” in het veld levert snel en vooraf bewijsmateriaal op; het kan worden uitgevoerd dankzij analytische instrumenten die nu draagbaar zijn en door de analisten op de plaats delict kunnen worden meegenomen om onmiddellijk met het onderzoek te beginnen.
hoewel een forensisch onderzoeker het crime lab nodig heeft voor verdere analyse of om een repetitief proces uit te voeren (iets wat niet mogelijk is met live acquisities), is dit niet in alle gevallen nodig. Niettemin is het belangrijk dat de forensische onderzoeker net genoeg informatie verzamelt om de volgende passende stap in het onderzoek te bepalen. Deze aanpak garandeert geen verlies of beschadiging van digitaal bewijs, verlies van vluchtige gegevens of het nodig hebben van een bevel voor het in beslag nemen van de apparatuur.
Live onderzoeken worden al jaren uitgevoerd. In het huidige digitale tijdperk en de toename van computercriminaliteit is het geen verrassing waarom er een behoefte is om forensische analisten in dienst te nemen voor de analyse en interpretatie van digitaal bewijs (bijvoorbeeld computersystemen, opslagmedia en apparaten), legt Marcus K. Rogers, Computer and Information Technology Department van Purdue University uit. In een artikel over de Cyber Forensic Field Triage Process Model (CFFTPM) in 2006, merkte hij op dat “CFFTPM stelt een on-site of veld aanpak voor het verstrekken van de identificatie, analyse en interpretatie van digitale bewijs in een korte tijd, zonder de eis van het hebben van het systeem(s)/media terug naar het lab voor een diepgaand onderzoek of het verwerven van een volledige forensische Beeld(s).”
A few computers forensic tools
Comprehensive forensic software tools (such as Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, etc.) worden gebruikt door misdaadplek-onderzoekers om hun verzameling, indexering en gedetailleerde analyse te verstrekken.Een forensisch onderzoek bestaat uit het verzamelen van computer forensische informatie; het proces kan beginnen met het analyseren van netwerkverkeer met een packet analyzer of een sniffer tool zoals Wireshark die in staat is om verkeer te onderscheppen en te loggen voor verdere analyse. NetworkMiner, een andere Network Forensic Analysis Tool (NFAT), is een alternatief voor Wireshark om alle bestanden te extraheren of te herstellen. Snort, in plaats daarvan, is een waardevol hulpmiddel bij het opsporen van netwerk indringers in real time.
NFAT-software bevat ook forensische mogelijkheden door het uitvoeren van analyses op opgeslagen netwerkverkeer, zoals de naam al doet vermoeden. Wat betreft Incident Response en identificatie, een forensische Toolkit, of FTK, kan worden gebruikt om verwijderde bestanden te identificeren en te herstellen; terwijl, EnCase is geschikt voor forensische, cyber-security en e-discovery gebruik.
de behoefte aan nieuwe forensische hulpmiddelen
de implementatie en snelle groei van nieuwe technologieën hebben voor forensische analisten die nu worden geconfronteerd met de taken om niet alleen op PC ‘ s en laptops, maar ook (en vaker) op tablets en smartphones informatie te zoeken, heel wat problemen opgeleverd.”Mobile device forensics is the science of recovering digital evidence from a mobile device under forensically sound conditions using accepted methods”, stelt NIST in zijn “Guidelines on Mobile Device Forensics”.”De Gids benadrukt hoe forensische analisten vandaag de dag een goed begrip moeten hebben van de uniciteit van de mobiele wereld en de meeste technologische functies achter elk model en type apparaat dat op een plaats delict kan worden gevonden, moeten begrijpen.
de verspreiding van eigen besturingssystemen, coderingstechnologieën en beschermingsinstrumenten die zijn ontwikkeld door smartphonebedrijven als Nokia, Samsung, LG, Huawei, Apple en meer verplicht analisten om sneller dan ooit tevoren op de hoogte te blijven van de laatste ontwikkelingen. De nieuwe geavanceerde apparaten van vandaag worden tegen hogere snelheden geproduceerd en het extraheren van informatie uit hen, zelfs na het omzeilen van de voor de hand liggende beveiligingsfuncties die hen beschermen, bieden unieke uitdagingen.
door te werken met stand-alone computers wist een analist waar hij naar data moest zoeken (RAM, BIOS, HHD…). In een mobiele apparaat opslag, het is niet zo duidelijk, en relevante informatie kan worden gevonden op verschillende locaties, van NAND tot nor flash-geheugen aan het RAM van een SIM-kaart, bijvoorbeeld.
het is belangrijk om op een manier te werken die gegevens bewaart, waarbij bijvoorbeeld rekening wordt gehouden met zaken als de effecten van stroomafvoer op het vluchtige geheugen van het apparaat, waardoor belangrijke informatie over programma-uitvoeringen op het apparaat kan worden onthuld. Bovendien, ” gesloten besturingssystemen maken het interpreteren van hun bijbehorende bestandssysteem en structuur moeilijk. Veel mobiele apparaten met hetzelfde besturingssysteem kunnen ook sterk variëren in hun implementatie, wat resulteert in een groot aantal bestandssysteem en structuur permutaties. Deze permutaties creëren aanzienlijke uitdagingen voor fabrikanten en examinatoren van mobiele forensische tools.”(NIST Special Publication 800-101, Revision 1)
zoals het National Institute of Standards and Technology (NIST) uitlegt, zijn er veel technieken die analisten kunnen gebruiken om forensische gegevens van mobiele apparaten te verzamelen, van de minder opdringerige handmatige extractie tot de invasieve, geavanceerde en dure microlezen. Handmatige extractie betekent het verkrijgen van informatie door simpelweg de gebruikersinterface en het display van het apparaat te gebruiken. De tweede stap is nog steeds fundamenteel en omvat logische extractie. Het derde niveau omvat Hex Dumping / JTAG extractie methoden; het vereist een moeilijker data verzamelen aanpak-uitgevoerd door de fysieke acquisitie van het geheugen van het apparaat. Het vierde niveau is de chip-off methode die de feitelijke verwijdering van het geheugen impliceert en het vijfde, de moeilijkste en meest geavanceerde methode is de Micro-leestechniek waarin analisten een geavanceerde microscoop gebruiken om de fysieke staat van alle poorten te bekijken.
NIST werkt niet alleen aan een gemeenschappelijke aanpak van mobiel forensisch onderzoek, maar biedt ook een forum om ideeën over cloudonderzoek te verzamelen. Cloud computing is een snel groeiende technologie die nu wordt gebruikt door de meeste gebruikers van mobiele apparaten en veel bedrijven. De flexibiliteit en schaalbaarheid maken het een aantrekkelijke keuze voor de meeste gebruikers, maar stelt ook unieke forensische uitdagingen.
naast technische uitdagingen levert cloud computing in feite rechtsbevoegdheid en juridische problemen op. Gegevens kunnen in feite overal worden opgeslagen en geraadpleegd en het kan problematisch zijn voor onderzoekers om toegang te krijgen tot gegevens in verschillende landen of op manieren die de privacyrechten van andere cloudgebruikers beschermen.
bovendien is het soms moeilijk om gegevens en acties toe te schrijven aan een bepaalde gebruiker. Het herstel van data kan ook problematisch zijn door het overschrijven en hergebruiken van ruimte in een cloudomgeving.
onderzoekers moeten ook op de hoogte zijn van anti-forensische technieken, hulpmiddelen en praktijken die forensische analyse onduidelijk kunnen maken, vooral in een cloudomgeving. Bepaalde vormen van malware en verduisteringstechnieken kunnen de integriteit van het verzamelde bewijs in gevaar brengen en kunnen conclusies moeilijk voor de rechtbank presenteren.
conclusie
zoals Infosec op haar website uitlegt: “De huidige bedrijven hebben specialisten op het gebied van computer forensisch onderzoek nodig om de oorzaak van een hackeraanval vast te stellen, bewijsmateriaal te verzamelen dat wettelijk toelaatbaar is in de rechtbank, en bedrijfsmiddelen en reputatie te beschermen.”
met cybercriminaliteit (d.w.z., elke criminele daad met betrekking tot computers en netwerken) op de opkomst en bedreigende organisatorische gegevens, evenals het toegenomen gebruik van digitale apparaten door de algemene bevolking, de analyse van digitaal bewijs wordt een cruciaal element op veel plaatsen delict.Forensische informatica is nu een spannend beroep dat de nadruk legt op het menselijke element, maar ook uitdagingen stelt vanwege de noodzaak om digitaal bewijs aan het licht te brengen in een steeds veranderende omgeving. De technologische vooruitgang en de verschuiving naar netwerk-en cloudomgevingen waar anti-forensische methoden gemakkelijk in het spel kunnen komen, verplichten professionals op het gebied om up-to-date te blijven en voortdurend standaard operationele procedures te herzien.
Rebecca T. Mercuri, oprichter van Notable Software, Inc., opgemerkt in een wetenschappelijk artikel over uitdagingen in Forensic Computing dat “de voortdurende volwassenheid van dit gebied zal steevast brengen enige stabilisatie in best practices, training, Certificering, en toolsets, maar nieuwe uitdagingen zullen altijd ontstaan als gevolg van de dynamische aard van de technologie aan de wortel.”Niettemin, zoals de FBI op haar website stelt,” moet deze opkomende forensische discipline een effectief en betrouwbaar instrument blijven in het strafrechtsysteem.”
bronnen
Guidelines on Mobile Device Forensics
Carving out the Difference between Computer Forensics and E-Discovery
stroomlijning the Digital Forensic Workflow: Part 3
Safer Live Forensic Acquisition
Security Watch-Challenges in Forensic Computing
Guide to Computer Forensics and Investigations. (3rd ed.). Boston, MA
Computer Forensics Field Triage Process Model.Innovations Blog: The Push for Live Forensics.
digitaal forensisch onderzoek is niet alleen hoe, maar waarom