Computersystemen worden op verschillende manieren misbruikt. Het gaat daarbij onder meer om ongewenste e-mail, virussen, diefstal van gegevens en fraude. In Nederland bestaat veel kennis op het gebied van onderzoek en bestrijding van computercriminaliteit. Een consultant legt uit hoe digitaal sporenonderzoek in zijn werk gaat.
Tabel 1: Rol van de Computer tijdens een incident Computer als hulpmiddel De computer waarmee het feit gepleegd is, bevat mogelijk gegevens over het tijdstip, de planning, de software die gebruikt is en mogelijk een referentie naar de dader. Computer als slachtoffer Bij een computer die het slachtoffer is geworden (van bijvoorbeeld fraude) zijn sporen te vinden over de mogelijke wijziging. Deze sporen moeten corresponderen met de sporen op de computer die als hulpmiddel is gebruikt. Computer als getuige Een computer kan ook getuige zijn van een incident. Veel systemen in een netwerk hebben de taak netwerkverkeer door te sturen of (meta) gegevens aan te leveren. Zo kan bijvoorbeeld de aanlogserver, een webserver of een inbelserver gegevens bevatten die helpen aantonen dat een persoon via een bepaalde route een verbinding heeft gemaakt. |
Gelukkig wordt het grootste deel van de computerapparatuur slechts gebruikt voor legitieme doeleinden. Misbruik van computers, in de breedste zin van het woord, komt desondanks veel voor en valt uiteen in twee categorieën.
Hash-waarde Een veel gebuikte hash-methode is de SHA-1. Dit is een rekenmethode die internationaal is vastgesteld. De methode berekent aan de hand van een formule een controlegetal van 160 bits uit. Als er enig twijfel ontstaat over de integriteit van de resultaten wordt het controlegetal nogmaals uitgerekend. Zijn beide getallen gelijk, dan staat het onomstotelijk vast dat de gegevens niet gewijzigd zijn. |
De tweede categorie betreft het misbruik van een computersysteem op een zodanige wijze dat het ingrijpt op de primaire werking van een organisatie of dat het misbruik duidelijk een wet overtreedt. Deze categorie betreft zaken als fraude, bedreiging, diefstal van gegevens, spionage en bijvoorbeeld het vervaardigen of verspreiden van elektronische vormen van kinderporno. Het aantal incidenten in deze categorie is relatief beperkt, maar de schade voor een organisatie kan groot zijn.
Voor deze laatste categorie van computermisbruik is het vaak nodig om een forensisch onderzoek in te stellen naar de toedracht en de (eventuele) daders zodat er tegen kan worden opgetreden.
Digitaal sporenonderzoek
Nederland is een van de meest ontwikkelde landen als het gaat om het onderzoeken en bestrijden van computercriminaliteit. Al in 1988 waren er in Nederland politiemensen bezig met het onderzoeken van computergerelateerde handelingen en computercriminaliteit. Nederland was, en is nog steeds, een voortrekker op het gebied van digitaal sporenonderzoek.
Niet in alle gevallen is er direct sprake van een misdrijf of is het wenselijk om de politie in te schakelen. Soms zal een organisatie alleen een intern onderzoek willen instellen. Sommige grote organisaties beschikken over interne capaciteit voor het doen van onderzoek. Er zijn daarnaast in Nederland enkele kleinere gespecialiseerde bedrijven die forensisch computeronderzoek doen; grotere ict-bedrijven hebben hiervoor soms ook een eigen afdeling.
Dreigbrief onderzoek In het volgende (fictieve) voorbeeld wordt getoond hoe het kijken naar rollen en type onderzoek gebruikt wordt om te beslissen waar naar gezocht wordt. Bij een bedrijf wordt via de e-mail een dreigbrief ontvangen. De verzender eist veel geld anders zou er iets erg gebeuren. Bij een onderzoek naar een dreigbrief via de e-mail is het, in eerste instantie, niet zinvol om de computer van de ontvanger te onderzoeken. Het onderzoek richt zich op het e-mailbericht dat is verstuurd. De header bevat de afzender van het bericht. In dit geval werd het bericht verstuurd vanuit een Hotmail-account. Dit is een internet mail programma dat via een website te benaderen is. In principe kan iedereen over de hele wereld een mail account aanvragen bij Hotmail. Omdat dreigingen soms uit de directe omgeving komen, worden de logging-bestanden van de proxy server van het bedrijf bekeken. Zou een van de eigen medewerkers een verbinding gemaakt hebben met Hotmail? Er blijken inderdaad meerdere verbindingen gemaakt te zijn met de Hotmail website. Per regel in de logging staat het ip-adres van de verzender (en van de computers in het bedrijf) en de ontvanger (Hotmail). Er zijn maar twee computers die een verbinding hebben gemaakt met Hotmail vlak voordat het e-mail bericht werd verstuurd. Door de harddisks van deze twee computers te onderzoeken blijkt dat op één van de twee computers een deel van de dreigbrief terug te vinden is. De eigenaar van de computer wordt ondervraagd en blijkt inderdaad het bericht te hebben verstuurd. |
Bij het doen van een onderzoek naar digitale sporen wordt daarom onderscheid gemaakt naar het soort incident en de wijze waarop computers een rol spelen in het onderzoek. Met deze informatie is het onderzoek eenvoudiger en efficiënter uit te voeren.
Uit de rollen die een computer kan spelen in een onderzoek blijkt al dat er verschillende soorten onderzoeken mogelijk zijn. We onderscheiden daarbij vier typen onderzoek, zie tabel 2
Projectmatige aanpak onderzoek
Het onderzoeken van een computer vergt discipline, expertise en ook speciale hard- en software. Het is aan te raden om forensisch onderzoek planmatig aan te pakken. Een planmatige aanpak verzekert een duidelijk vooraf bepaalde strategie, een goede vastlegging van resultaten en biedt handvatten voor snelle beslissingen.
Een van de obstakels bij het uitvoeren van forensisch onderzoek is dat sporen veelal erg vluchtig zijn. Een ander probleem is dat het niet altijd mogelijk is om een omgeving volledig te bevriezen. Vaak wordt het netwerk door heel veel gebruikers tegelijk gebruikt en het belang van het bedrijf gaat soms voor het belang van het onderzoek. Om alle relevante sporen veilig te stellen, is snelheid daarom vaak geboden.
Tabel 2. Type onderzoeken Tijdslijnonderzoek Dit type onderzoek is erop gericht vast te stellen wanneer een bepaalde gebeurtenis heeft plaats gevonden. Zelfs de meeste ervaren hackers hebben moeite om aanpassingen in een computer zodanig te verbergen dat ook de tijdslijnen van alle handelingen correct zijn. Immers, de wijziging in de tijdslijn is zelf weer een wijziging en dient ook weer gecorrigeerd te worden. Informatieonderzoek Soms is het belangrijk te achterhalen wat de exacte inhoud van een document is of was. Ook nadat gegevens zijn gewijzigd of overschreven is het voor specialisten veelal nog mogelijk de oorspronkelijke inhoud te reconstrueren. Relatieonderzoek Omdat de meeste computers onderling zijn verbonden, kan de informatiestroom (welke computers hebben wanneer onderling contact gehad) aanwijzingen bevatten over de toedracht. Soms is het mogelijk hiermee de relatie tussen de dader en het slachtoffer aan te tonen. Handelingenonderzoek Bij dit onderzoek gaat het erom vast te stellen welke handelingen zijn gepleegd. Vaak houdt een computer bijvoorbeeld bij welke programma’s wanneer zijn opgestart. |
Doel en omvang bepalen. Afhankelijk van het incident is het van belang zo snel mogelijk te bepalen wat de omvang van het onderzoek zal zijn. Welke computers spelen een rol.
Veiligstellen gegevens. Alle geïdentificeerde computers die een significante rol spelen dienen zo snel mogelijk "bevroren" te worden. Meestal wordt dit gedaan door het maken van een volledige (bit voor bit) back-up van de harddisk. Het maken van een goede back-up is al een hele opgave, en met de toenemende omvang van harddisks neemt de back-up tijd ook enorm toe.
Hash-waarde berekenen. Van alle gegevens dienen in een zo vroeg mogelijke stadium de hash waarden te worden berekend, zodat het wijzigen van de gegevens niet meer onopgemerkt plaats kan vinden. Deze waarden dienen bij een onafhankelijke partij (zoals een accountant of security officer) te worden afgegeven.
Analyseren gegevens. Nadat alle gegevens zijn verzameld wordt met een kopie van de gegevens een onderzoek uitgevoerd. Het onderzoek dient zeer nauwkeurig te worden gedocumenteerd zodat in een later stadium een tweede onderzoek de resultaten kan bevestigen.
Presenteren resultaten. Het resultaat van het onderzoek moet op een heldere en objectieve wijze worden gepresenteerd.
Bewaren resultaten en eventueel overdragen. De resultaten en de ruwe gegevens dienen op de juiste wijze te worden bewaard, zodat ze in een later stadium nog leesbaar zijn. Eventueel worden de gegevens overgedragen aan justitie voor verder onderzoek of vervolging.
Valkuilen
Het uitvoeren van een forensisch computeronderzoek is specialistisch werk. Het is daarom niet verstandig om zelf, zonder de benodigde kennis en ervaring, een onderzoek uit te voeren. De volgende aspecten spelen, naast technische aspecten, een belangrijke rol.
Proportionaliteit. Wanneer de politie een (strafrechterlijk) onderzoek uitvoert, dient het gebruikte middel in overeenstemming te zijn met het gepleegde feit. Zo is het in het algemeen niet gerechtvaardigd om een pc te onderzoeken om te bepalen of iemand een onsmakelijke maar onschuldige grap heeft uitgehaald.
Privacy en eigendomsrecht. Het doen van onderzoek naar een medewerker die ergens van verdacht wordt, is lastig. De privacy-wetgeving beschermt de computer van een medewerker tenzij er vooraf afspraken over zijn gemaakt.
Hobby. Bijna iedereen heeft thuis een pc. Onder de vele liefhebbers en hobbyisten zitten vaak hele handige jongens, die "dat wel even zullen uitzoeken". Helaas blijkt vaak in de praktijk dat, alhoewel goed bedoeld, dit soort onderzoeken meer stuk maken dan aan bewijsmateriaal opleveren. De allerbelangrijkste eis van een forensisch onderzoek is dat altijd aangetoond moet worden dat het onderzoek zelf geen enkele invloed heeft gehad op de resultaten. Gelukkig zijn er programma’s, zoals Encase en Forensic Toolkit die daar speciaal voor ontwikkeld zijn.
Bewijskracht. Wanneer het feit ernstig genoeg is en de feiten voldoende duidelijk, kan er aangifte gedaan worden. Bij het overdragen van het bewijsmateriaal, dat door de organisatie zelf is vergaard, is het van belang dat ook informatie over de onderzoeksmethode en het beheer van de onderzoeksinformatie zijn zeker gesteld.
Aanbevelingen
Een incident kan ons allemaal overkomen. De volgende aanbevelingen helpen u wellicht een incident gemakkelijker te onderzoeken, de eventuele dader te pakken en zodoende de schade te beperken. En daar gaat het uiteindelijk toch om.
Stel vooraf een draaiboek op en bespreek de implicaties van een sporenonderzoek met de afdeling Juridische zaken, de accountants, de ondernemingsraad, de afdeling personeelszaken en de it-afdeling.
Stel vooraf vast wie welke rol heeft in een digitaal sporenonderzoek.
Gebruik speciale soft- en hardware voor het correct vergaren van bewijsmateriaal.
Overweeg vooraf contact op te nemen met experts op dit gebied. Als er zich een incident voordoet, is er doorgaans te weinig tijd om nog een bedrijf te selecteren.
Overweeg om te oefenen met het onderzoeken van een incident.
Als forensisch onderzoek beleid wordt, dient dit aan alle betrokken medewerkers gecommuniceerd te worden. Het feit dat er onderzoek gedaan wordt, heeft een afschrikkende werking, maar is ook één van de voorwaarden om iemand zijn computer te mogen doorzoeken.< BR>
J.G. ten Houten, principle consultant Logica CMG en beëdigd gerechtelijk deskundige