Digitaal Forensisch Onderzoek Met een digitaal forensisch onderzoek onderzoeken we elektronica zoals computers, telefoons en USB-sticks op sporen van gebruik, terwijl we tegelijkertijd de aanwezige gegevens veilig stellen
Wat is er gebeurd met deze laptop of telefoon? Wie heeft ermee gewerkt en wat heeft deze persoon ermee gedaan? Dat zijn enkele vragen waarop een digitaal forensisch onderzoek van Ralon IT antwoord probeert te geven De maatschappij is de afgelopen drie decennia in een snel tempo gedigitaliseerd. Dat heeft als gevolg gehad dat we dagelijks gebruik maken van elektronica zoals laptops, telefoons en tablets. We dragen zulke elektronica voortdurend bij ons en gebruiken het tijdens een groot deel van ons dagelijks leven. Mensen hebben hun agenda s, contacten, emails, foto s en nog veel meer opgeslagen op hun telefoon en tablet. Steeds vaker worden deze gegevens ook opgeslagen op een server die ergens anders op de wereld staat: de zogenaamde opslag in the cloud. Dit alles opent de Forensisch onderzoek deur voor een speciale tak van het forensisch onderzoek genaamd digitaal forensisch onderzoek. Digitaal forensisch onderzoek Digitaal forensisch onderzoek Men denkt bij forensisch onderzoek al gauw aan opsporingsinstanties van overheidswege. Alhoewel forensisch onderzoek voor een groot deel in opdracht van de overheid wordt uitgevoerd, is het zo dat de digitale tak van forensisch onderzoek een veel bredere afzetmarkt kent. Onderwijsinstellingen, bedrijven, onderzoekscommissies, lagere overheden en semi-overheidsinstellingen maken gebruik van digitaal forensisch onderzoek om duidelijkheid te krijgen over de gebruiksgeschiedenis van hun tablets, laptops en andere hardware. In de digitale forensische techniek lijkt de nadruk vaak te liggen op computers zoals laptops, desktops en servers. Maar het kan verder gaan dan dat. Alles wat op de een of andere manier digitale techniek bevat, kan voorwerp zijn van een digitaal forensisch onderzoek. Een telefoon en een tablet zijn voor de hand liggende voorbeelden. Maar zelfs een navigatiesysteem of een hele auto kunnen onderwerp van digitaal onderzoek zijn om de eenvoudige reden dat ze digitale elektronica bevatten. Conventioneel forensisch onderzoek Forensisch onderzoek in conventionele zin is het onderzoek naar vingerafdrukken, DNAsporen en dergelijke. En hoewel er enige overeenkomsten in werkwijzen zijn, is het een heel andere tak van sport dan het hier genoemde digitaal forensisch onderzoek. Een groot verschil is in ieder geval dat conventioneel forensisch onderzoek bijna exclusief door instanties van de overheid wordt uitgevoerd.
Het onderzoek in het kort Met een digitaal forensisch onderzoek bedoelen we een onderzoek naar de gebruiksgeschiedenis van elektronische apparatuur zoals laptops, tablets, telefoons en servers. Gedurende zo n onderzoek komen we allerlei data tegen zoals documenten, internethistorie, locaties, afbeeldingen, video s, communicatie, emails, databases en logbestanden. Die data stellen we veilig. Aan de hand van de veiliggestelde data wordt een beeld geschetst van de activiteiten en gegevens van een gebruiker. Het resultaat van het onderzoek is een tijdlijn waartegen activiteiten en gegevens van een gebruiker worden afgezet. Digitaal Forenisch Onderzoek Data kopiëren Selecteren Categoriseren Samenvatten Visualiseren Locaties Data Wifihistorie Emails Afbeeldingen Communicatie Internethistorie Verwijderde data Agenda s Databases Logs Software Tracked De genoemde tijdlijn verwerken we in een door ons zelf ontwikkelde softwareoplossing genaamd Tracked. Via Tracked kunt u de tijdlijn inzien en kunt u interactief de tijdlijn doorlopen. Op die manier kunt u zelf bepalen wat relevant is en waar u meer van wilt weten. Naarmate een punt op de tijdlijn verticaler gevuld wordt, is er meer data beschikbaar voor dat punt. Meestal stellen we een grove tijdlijn op die op uw verzoek verder verticaal wordt uitgediept. 2012 2013 17-04 14:52 02-06 05:15 22-11 17:56 04-02 20:07 15-07 02:41 28-12 19:32 Communicatie Piet de Vries Henk Jansen Onderwerp RE: contract XY67... Communicatie Data 1274_adreslijst.xlsx Communicatie Afbeelding DCIM_1526_41.jpg Trefwoorden jet, van Hoek, Snelherkenning Henk Jansen, Zomeren, Fred, Den Haag van Hoek, auto...... Communicatie Communicatie Data Communicatie Locatie Henk Jansen Piet de Vries Trefwoorden contract, bank, NL50RABO0147421403... Dossr78~1.tmp Trefwoorden van Hoek, XF-78-DG, kopiëren....tmp SSID VHoek_AP IP_loc 192.168.2.18 IP_net xx.70.115.2
Hardware Hardware kan als een verzamelnaam gezien worden voor bijna alles wat voor een digitaal forensisch onderzoek in aanmerking komt. U kunt denken aan een telefoon, laptop of tablet. Maar daar houdt het niet op; de lijst met hardware die onderzocht kan worden is vele malen groter. We geven een kort overzicht van meer reguliere hardware. Het overzicht is dus zeker niet volledig. Telefoon Telefoongesprekken Internethistorie Emails SMS- en WhatsApp-verkeer Wifi-historie Locaties Agenda s Geïnstalleerde apps Tablet Internethistorie Emails SMS- en WhatsApp-verkeer Wifi-historie Locaties Agenda s Geïnstalleerde apps Documenten Camera Afbeeldingen Video s Locaties Verwijderde data Metadata USB-stick/SD-kaart Documenten Afbeeldingen Video s Verwijderde data Metadata Laptop/desktop/server Emails Internethistorie Netwerkgebruik (VPN/TOR) Documenten( PDF s/word/ Excel/etc.) Afbeeldingen Video s Logbestanden Metadata Databases Gebruikersgegevens Geïnstalleerde programma s Broncode van software Instellingen Encryptiesleutels (SSL/PGP) Tijdelijke bestanden Verwijderde data (Wifi-)router IP-adressen Historie aangesloten apparaten Navigatiesysteem Locaties Wifi-historie Andere hardware Alle hardware met daarin een vorm van lange termijnopslag kan informatie opleveren met behulp van een digitaal forensisch onderzoek. Lange termijnopslag zit in bijna alle objecten waar elektronica in kan zitten: van auto s tot zonnepanelen en van afvalcontainers tot zendapparatuur.
Versleuteling en beveiliging Het versleutelen van data is steeds meer vanzelfsprekend geworden. Dat is een goede ontwikkeling met het oog op privacy en beveiliging van gegevens. Voor het kunnen uitvoeren van een digitaal forensisch onderzoek plaatst dat ons echter wel voor wat uitdagingen. Het betekent namelijk dat de beveiliging van de hardware moeten worden omzeild of doorbroken. Het kan zelfs zo zijn dat het kraken van de hardware meer tijd in beslag neemt dan het onderzoek zelf. Vooral als het hardware is met nieuwere beveiligingstechnieken dan kan het langer duren voordat we toegang hebben tot de gegevens. En soms zullen we niet in staat zijn om het te kraken of te omzeilen. Dat is winst voor de ontwikkelaars van de beveiliging en vervelend voor u en ons omdat we het onderzoek dan niet goed kunnen uitvoeren. Als we niet de beschikking hebben over gegevens om op reguliere manier toegang te krijgen tot de hardware dan zijn we meestal aangewezen op twee methoden om toch een onderzoek te kunnen uitvoeren: het exploiteren van een beveiligingslek in de software of gebruik maken van de zogenaamde brute-force methode. Beide methoden lichten we nader toe. Exploiteren beveiligingslek In alle software zitten bugs en sommige daarvan leveren onbedoelde functionaliteit. Die functionaliteit is soms te gebruiken om toegang te krijgen tot beveiligde of verborgen gegevens. Dit soort bugs vormen daarom voor ons een mogelijkheid om toegang te krijgen tot gegevens. We worden hier wel voor een principiële kwestie geplaatst. Moeten we een bug die een ernstig veiligheidsprobleem veroorzaakt, melden bij de ontwikkelaar? Melden we de bug niet dan levert ons dat voordeel op tijdens het doen van toekomstige onderzoeken. Melden we het wel dan werkt dat dus toekomstig in ons nadeel maar geeft het de ontwikkelaar de mogelijkheid om z n software te updaten en zo gebruikers te behoeden voor criminele hackers. In principe melden we ernstige veiligheidsproblemen altijd bij de ontwikkelaar maar stellen daarbij tegelijkertijd de verplichting dat de ontwikkelaar het veiligheidsprobleem meldt bij z n gebruikers. Dit alles onder het responsible disclosure principe: het verantwoord melden van een veiligheidsrisico bij de verantwoordelijke personen of organisaties terwijl ze de tijd krijgen om het veiligheidslek te dichten voordat het veiligheidsrisico publiek wordt gemaakt. Brute-force Als de beveiliging bestaat uit een code, wachtwoord of gebruikersnaam/wachtwoord dan is het mogelijk om uiteindelijk toegang te krijgen door alle denkbare combinaties uit te proberen. Deze methode wordt brute-force genoemd. Het slagen van deze methode is voornamelijk afhankelijk van het aantal mogelijke combinaties en de beschikbare rekenkracht. Uiteindelijk zal deze methode altijd slagen maar het kan wel te veel tijd kosten. Vaak maken we gebruik van veel gebruikte combinaties om sneller resultaat te behalen.
Het onderzoek in de praktijk Hoe verloopt een digitaal forensisch onderzoek bij Ralon IT? Dat is in de eerste plaats afhankelijk van wat uw wensen zijn. Zo ligt het eraan of u naar specifieke gegevens zoekt zoals bepaalde personen, gebeurtenissen of andere gegevens. U geeft ons dan een zoekinstructie mee. Maar u kunt ook vragen om een algemeen onderzoek waarbij we als het ware met een sleepnet door de gegevens gaan. Alles wat opvalt verzamelen we dan en verwerken we in Tracked (de tijdlijn, zie eerder in deze folder). Vervolgens kunt u dan ons een aanwijzing geven om het onderzoek in een bepaalde richting te verdiepen. Kortom, u bepaalt in eerste instantie in welke richting we gaan zoeken. De algemene werkwijze is als volgt: 1 Aanleveren hard- en software 2 Oriënterend onderzoek 3 Eerste rapportage 4 Verdiepend onderzoek 5 Eindrapportage 6 Verder onderzoek tracked
1 2 Aanleveren hard- en software Het onderzoek begint met het aanleveren van de hardware en eventuele bijbehorende software. Bij voorkeur voeren we het onderzoek uit op onze eigen locatie in Meppel. We hebben daar de noodzakelijke apparatuur en infrastructuur om onze werkzaamheden zo goed mogelijk uit te voeren. Echter kan het zo zijn dat het onwenselijk of onmogelijk is om de hardware te verplaatsen. In dit geval voeren we een deel van het onderzoek op locatie uit. Oriënterend onderzoek Een kort oriënterend onderzoek is meestal noodzakelijk om in te schatten wat de kans is op een bevredigend resultaat van een verdiepend onderzoek (4). We inventariseren de beveiliging en versleuteling. Die inventarisatie is voor een heel groot deel beslissend voor een vervolg. 4 5 Verdiepend onderzoek Tijdens het verdiepend onderzoek gaan we de hard- en software volledig doorlichten. We verzamelen geautomatiseerd alle gegevens. Vervolgens verwerken we de verzameling in een database die de basis vormt voor Tracked. U kunt ervoor kiezen om tijdens het onderzoek op de hoogte te worden gehouden. De duur van het onderzoek is geheel afhankelijk van de hoeveelheid data en mate van beveiliging en versleuteling. Een tijdsinschatting is daarom meestal wel te maken na het oriënterend onderzoek. Eindrapportage en Tracked Het resultaat van een verdiepend onderzoek is een rapportage en een gevulde Tracked. In het rapport staat een samenvatting van de aangetroffen gegevens en er wordt in beschreven wat wij opvallend vonden. In Tracked staat vervolgens alle data. 3 Het oriënterend onderzoek is meestal binnen een halve dag afgerond. Eerste rapportage Het oriënterend onderzoek levert een eerste rapportage op. In dat rapport staat onderbouwd beschreven hoe groot wij de kans achten dat een verdiepend onderzoek (4) het gewenste resultaat oplevert. Op basis van dit rapport besluit u of we verder gaan met het verdiepend onderzoek. Mocht uit deze rapportage blijken dat het niet zinvol is om verder onderzoek uit te voeren, dan kijken we samen met u naar een goed alternatief. 6 We hebben Tracked opgezet om het voor u makkelijk te maken om de gegevens te bekijken en te beoordelen. Het is denkbaar dat u de gegevens op een USB-stick of andere gegevensdrager wilt ontvangen. Dat behoort daarom altijd tot de mogelijkheden naast Tracked. Verder onderzoek Soms blijken de resultaten van een verdiepend onderzoek aanleiding te geven bepaalde gegevens verder te analyseren. We gaan dan simpelweg het verdiepend onderzoek uitbreiden en een nieuwe eindrapportage opstellen met de bijbehorende Tracked.
Doelgroepen Opsporingsinstanties Bedrijfsrecherches Onderwijsinstellingen Gemeenten/provincies Onderzoekscommissies Media Overige bedrijven/organisaties Software Veel software ontwikkelen we zelf en we maken ook veel gebruik van open-source software. Dat doen we omdat elk onderzoek weer een eigen aanpak vraagt. En dan is het belangrijk dat we flexibel zijn. Door zelf software te ontwikkelen kunnen we ons snel aanpassen. Open-source software is meestal gratis en mag ook vaak commerciëel gebruikt worden. We vinden daarom dat we verplicht zijn om aan de open-source gemeenschap wat terug te geven. Dat doen we door een bijdrage te leveren aan bestaande open-source projecten of door zelf bepaalde software van ons aan de open-source gemeenschap beschikbaar te stellen. Digitaal Forensisch Onderzoek aanvragen Neem geheel vrijblijvend contact op met ons via info@ralon.nl of +31(0)522 230 037 en we bekijken samen of een digitaal forensisch onderzoek resultaat kan opleveren. Vraagt u gerust; wat voor hardware het ook is, we zien het altijd als een uitdaging om zoveel mogelijk informatie boven water te halen! We willen u vragen om in ieder geval het invulformulier op de volgende pagina in te vullen als u een onderzoek aanvraagt. Deze kunt u mailen of per post versturen.
Aanvraagformulier Digitaal Forensisch Onderzoek regulier v1_20160601 Aanvraagformulier Digitaal Forensisch Onderzoek regulier Vult u a.u.b. het formulier zo volledig mogelijk in. Heeft u echter bepaalde gegevens niet dan kunt u ze weglaten. 1. NAW Bedrijf/organisatie Achternaam Voorletters Adres + huisnummer Postcode Plaats 2. Project Projectnaam Uw referentie/inkoopnr. 3. Objecten ter onderzoek Omschrijving hardware 1 Merk + type Serienummer Omschrijving hardware 1 Merk + type Serienummer Omschrijving hardware 1 Merk + type Serienummer 4. Onderzoeksdoel Wat is het onderzoeksdoel? 2 1 Het type hardware: computer, laptop, harde schijf, USB-stick, camera etc. 2 Geef hier aan wat het onderzoek moet opleveren. Voorbeelden: ik wil weten welke mensen er met deze computer hebben gewerkt of ik wil een complete lijst met bestanden + metadata. 5. Akkoordverklaring en ondertekening Hierbij verklaar ik dat ik het recht heb om de/het bij punt 3 genoemde object(en) te onderzoeken en daarbij kennis mag nemen van de gegevens op de daarin aanwezige gegevensdrager(s). Ik verleen Ralon IT Digital Forensics, rechtsgeldig vertegenwoordigd door L. Kloeze, geboren 12-11-1985 te Meppel, hetzelfde recht. Ik ga ermee akkoord dat bij constatering van mogelijk strafbare gegevens Ralon IT Digital Forensics deze gegevens mag verstrekken aan de relevante opsporingsinstanties. Ik heb de akkoordverklaring gelezen en ga daarmee akkoord Datum Plaats Handtekening
Ralon IT Digital Forensics Blankenstein 102 7943 PE Meppel +31(0)522 230 037 info@ralon.nl www.ralon.nl Ralon IT Digital Forensics - 2016 - v20160525_01