CSI: Computer Scene Investigation

Forensisch onderzoekers zoeken naar digitale sporen

Forensisch onderzoek gebeurt niet alleen analoog.

Forensisch onderzoek gebeurt niet alleen analoog.

Ondernemingen zullen om de schade aan hun imago niet gauw aangifte doen van digitale criminaliteit. Liever huren ze een forensisch onderzoeksbureau in om te achterhalen wat er precies gebeurd is én om bewijsmateriaal boven tafel te krijgen.

Zo spannend als de bekende tv-serie CSI wordt het natuurlijk nooit, maar digitale sporen blijken net zo interessant als dna, vingerafdrukken en vuilniszakken. De forensisch onderzoekers die op commerciële basis worden ingehuurd door bedrijven en overheden vullen hun dagen met het achterhalen en veiligstellen van elektronische bewijslast. Meestal gaat dat om gegevens op pc's, laptops en mobiele telefoons, soms om informatie die in de backoffice-systemen van grote ondernemingen te vinden is.

"Het kan om hele simpele zaken gaan," vertelt Christian Prickaerts, forensisch it-expert bij Fox-IT. "Een medewerker wordt verdacht van fraude of verduistering. Een personeelslid wordt lastig gevallen per e-mail. Gevoelige informatie wordt naar de concurrent of de pers gelekt. Of het gaat om digitale inbraak." Dat laatste heeft meer raakvlakken met netwerkbeveiliging en auditing.

Quarantine of doordraaien

Uitgebreid sporenonderzoek in het lab is niet altijd mogelijk, of zelfs wenselijk.

Uitgebreid sporenonderzoek in het lab is niet altijd mogelijk, of zelfs wenselijk.

"Als er een incident plaatsvindt, kijken we eerst naar wat we dénken dat er aan de hand is," vervolgt Prickaerts. "Daarna moeten we de keuze maken: of we zetten de betrokken systemen in quarantine, of we besluiten door te draaien. Het merendeel van de bedrijven wil niet eens weten waar de problemen vandaan komen; ze willen zo snel mogelijk weer verder. Daarmee overschrijf je mogelijk bewijzen. Daar kun je omwille van de productie voor kiezen, maar het moet wel een bewuste afweging zijn."

"Een aangifte leidde voorheen ook niet tot vervolging. Het gaat vaak om complexe zaken, waar je echt even voor moet gaan zitten. Tegenwoordig is dat beter. Wij leiden ook Officieren van Justitie op, zodat ze meer feeling voor de materie krijgen."

Outsourcing is bijvoorbeeld één van de zaken die het lastig maakt om bewijslast te verzamelen. "Het bedrijf is weliswaar eigenaar van de data, maar die bevindt zich ergens anders. De ict-omgeving is vaak van meerdere partijen. Bovendien worden de processen gedeeld met andere klanten. Wel of niet fixen is een commerciële afweging."

Kiezen voor aangifte

Veel forensisch computeronderzoek draait om het terugvinden van data, al dan niet gewist op de harde schijf.

Veel forensisch computeronderzoek draait om het terugvinden van data, al dan niet gewist op de harde schijf.

Het leeuwendeel van de forensische onderzoeken resulteert dan ook helemaal niet in een aangifte. De meeste zaken worden intern afgehandeld. Als er beveiligingsproblemen zijn met internet-bankieren wil een bank dat wel laten onderzoeken, maar wil het dat vanwege de schade aan zijn merk en het vertrouwen van zijn klanten niet in de openbaarheid brengen.

Daarmee kies je er automatisch voor geen aangifte te doen. De politie kan immers geen geheimhouding beloven en het openbaar ministerie zal met een aansprekende zaak in de media willen ‘scoren'. "Als een onderzoeksteam of een externe club advocaten binnenkomt, gaat het al gonzen," zegt Carlos Neves Cordeiro, senior vice-president bij risk-consultancy Marsh. "Zodra er enige overheidsinstantie bij betrokken is, houd je het zelden stil. Dat is een van de redenen dat grote ondernemingen hun eigen onderzoeksunits oprichten."

Dat heeft ook consequenties voor de mogelijkheid om zich tegen dit soort risico's te verzekeren. "Zodra de verzekeraar uitkeert, zal deze proberen zijn schade op de dader te verhalen, en dan komt het verhaal alsnog in de openbaarheid. Als verzekeringsnemer moet je nadenken of je wel wilt claimen."

Fraude en verzekering

Cordeiro ziet cybercrime steeds vaker gecombineerd met de fraude-verzekering. "Daaraan zie je dat de moderne fraudeur niet om ict heen kan. Als de bewijzen van zijn fraude in een database terug te vinden zijn, kan hij proberen om dat systeem te corrumperen om zijn sporen te wissen."

"Gaat iemand er met twee miljoen vandoor, dan wordt dat gedekt door de fraude-polis," vervolgt Cordeiro. "De kosten om de betreffende facturen boven tafel te krijgen, worden vergoed door de verzekeraar. Maar de kosten voor het bekijken van al die andere facturen worden niet betaald. Dat wordt gezien als achterstallig onderhoud van de administratie."

Afgezien van de hoge kosten, is het soms zelfs onmogelijk om de benodigde gegevens terug te krijgen. "Wat doe je als een fraudeur al tien jaar in dienst is?" vraagt Cordeiro. "In het archief staan alleen nog de totaalbedragen van de facturen, maar niet meer de afzonderlijke orderregels. Kun je die data nog ontsluiten? Kun je daar nog queries op uitvoeren? En wat als je drie jaar geleden bent overgestapt van Baan naar SAP? Zorg dat je alle relevante gegevens bewaart om een incident en de daaruit volgende schade te kunnen achterhalen."

Voorbereiding

Digitale sporen net zo interessant als vingerafdrukken, dna en vuilniszakken

Digitale sporen net zo interessant als vingerafdrukken, dna en vuilniszakken

Cordeiro hamert dan ook op wat hij ‘forensic readiness' noemt. "Wat opvalt bij alle grote zaken is dat het weken, soms maanden duurt voordat iemand een incident herkent en oppakt. Er blijkt iets niet te kloppen en dat wordt aan de baas gemeld. Pas als het weer gebeurt, wordt het een niveau hoger neergelegd."

"In de tussentijd loop je het risico dat de relevante gegevens verdampen. Bovendien worden er hele hoge kosten gemaakt voor het terughalen. Je moet de backups terugzetten en uitzoeken wat er aan de hand is. Dat is maatwerk. De forensische onderzoeksbureaus eten daar goed van."

Veel bedrijven kunnen die voorbereiding bovendien combineren met hun algemene ‘incident preparedness'. "Stel dat een autofabrikant tot de conclusie komt dat een bepaald type stuurhuis niet voldoet. Voor de kosten van het terughalen van die auto's kunnen ze zich verzekeren. Als in hun erp-systeem alleen de factuurbedragen staan maar niet de regels van de afzonderlijke onderdelen, dan moet hun pr-man nu zeggen "Ik weet niet precies om hoeveel auto's het gaat, maar ik denk dat het er vijfhonderdduizend zijn." Als na twee maanden dan blijkt dat het er maar vijftigduizend waren, dan heb je onnodige imagoschade opgelopen."

Moeilijke mensen

Beheerders tenslotte zijn bij forensische onderzoeken vaker een last dan een hulp. "Dat blijken regelmatig moeilijke mensen," vertelt Prickaerts. "Ze voelen zich vaak aangevallen. Ik heb nog nooit meegemaakt dat iemand iets wilde wegmoffelen, maar wel dat het meer dan een week duurt als je om de logs van de proxy-, mail- en webservers vraagt."

"Óf de ict-mensen vinden dat zij eigenlijk zelf dat onderzoek zouden moeten doen. Het is natuurlijk een welkome afwisseling op hun dagelijkse werk. Als dan een externe partij ingeschakeld wordt, merk je dat mensen wat stug zijn. Ik heb geen zin in die discussies, dus steek ik het liever op een hoger niveau in."

"Maar als het bij een onderzoek om de beheerder zelf gaat, moet je creatiever zijn," aldus Prickaerts. "Dat betekent dat je 's nachts moet werken of dat je systemen moet hacken." Hij benadrukt dan ook dat managers moeten zorgen dat ze een gesloten envelope met alle master-wachtwoorden in de kluis hebben liggen. "Die heb je ook nodig als de systeembeheerder onder de tram komt of zijn geluk gaat zoeken in een warm en zonnig land."