CSI-team in computerland

Amsterdams 4iTrust: forensische aanpak zonder it is ondenkbaar

Forensisch onderzoek kan niet meer zonder it-hulpmiddelen. De 4iTrust Groep heeft dan ook forensische accountants, juristen, ex-cybercops én automatiseerders in dienst. Het Amsterdamse bureau gebruikt een mix van zoek-, indicerings- en taaltechnologie, databeheermethodieken en beveiligingshulpmiddelen. "Wij hadden laatst een fraudezaak met vijf terabyte aan onderzoeksgegevens. Zoiets valt niet meer handmatig aan te pakken", stelt registeraccountant Carlos Neves Cordeiro.

Oprichters
Twee man ('vier ogen') richtten medio 2003 4iTrust op: Aart Bloemheuvel (ex-PriceWaterhouseCoopers) en Erik van der Veer (ex-Business Risks), met steun van investeerder Renessence Ventures. Zij werken nog steeds bij het bedrijf als respectievelijk divisiedirecteur 'forensic services' en divisiedirecteur 'risk management'. Sinds 1 oktober 2004 is Jan Joling (ex-Deloitte) aangetrokken als algemeen directeur. Hij geldt in Nederland als een van de experts op het vlak van forensische accountancy. In Nederland zijn naast 4iTrust ook nog firma's als Hoffmann Bedrijfsrecherche en Fox-IT bezig met digitaal forensische onderzoek.
Eerste eye-opener: het pand van 4iTrust (lees four-eye-trust') aan het Museumplein ligt pal naast de Amerikaanse ambassade. Ongewenst bezoek wordt afgeschrikt door een groot hekwerk, camera's en permanente bewaking. Het forensisch bureau lift mee met deze beveiligingsmaatregelen. Een passend visitekaartje voor een bedrijf dat zich toelegt op fraude-onderzoek, bedrijfsrecherche en beveiligingsadviezen. "Geen bewuste keuze", bezweren Mark Hoekstra, directeur it-forensics, en Carlos Neves Cordeiro, directeur 'forensic audit technology'.
Tweede eye-opener: bij de firma werkt een trits forensische accountants die overgekomen zijn van de grote accountantskantoren, zoals Deloitte, KPMG en PricewaterhouseCoopers. Neves Cordeiro stapte over van laatstgenoemd bureau. Hij wijt de uitstroom van forensische accountants aan het steeds minder interessant geworden werk bij de grote 'boekhouders'. "Vanaf de zomer van 2003 speelde vooral in de Verenigde Staten de discussie, zoals we dat eerder bij de adviestak hadden gezien, of een accountantskantoor wel een fraudeonderzoek kan uitvoeren bij een klant waarvoor het tevens de boeken controleert. De kans op belangenverstrengeling, de aangescherpte wet- en regelgeving en de angst voor negatieve publiciteit maakten de kantoren voorzichtiger bij het aannemen van opdrachten."

Pionieren

Derde eye-opener: Hoekstra blijkt een van de eerste cybercops in Nederland te zijn geweest. Hij heeft bij de Centrale Recherche Informatiedienst en Interpol aan de wieg gestaan van het internetrechercheren naar onder meer kinderporno en fraude op het web. "Later ben ik bij de KLPD betrokken geweest bij het opzetten van een digitale recherche-eenheid. We hebben in 2000 veel publiciteit gehaald met onze wervingscampagne voor cybercops." De inbedding van zo'n speciale eenheid in de politie-organisatie bleek soms lastig. Dan wilden de internetdienders geen Compaq-pc's (de toenmalige richtlijn), maar klonen waar ze zelf aan konden sleutelen. "Na een flinke discussie ging het hoofd inkoop overstag en kon de bestelling de deur uit. Een paar weken later stond er een pallet met Compaq-pc's voor de deur. Bleek een inkoopmedewerker de bestelbon gewijzigd te hebben, in de veronderstelling dat er een fout was gemaakt!". Een mooie periode, die pioniersjaren, maar het werd tijd voor iets nieuws, verklaart Hoekstra de overstap van de politie naar het bedrijfsleven.
Vierde eye-opener: 4iTrust, waar veertig mensen werken, is een multidisciplinair gezelschap van forensische accountants, juristen, automatiseerders en bedrijfsrechercheurs. De activiteiten zijn te verdelen over twee takken: repressie (forensische diensten en onderzoek, bedrijfsrecherche) en preventie (het beoordelen van risico's, uiteenlopend van het analyseren van een netwerkomgeving tot het adviseren over het vestigingsklimaat in Nigeria, en het uitvoeren van it-beveiligingsaudits). De onderneming werkt voor zowel (semi)overheidsinstanties als het bedrijfsleven. Opdrachten lopen uiteen van fraudezaken, corruptie, vermogenskwesties, integriteits- en veiligheidsadviezen en (reputatie)schade.

Bin Laden

"De afgelopen jaren is gebleken dat forensisch onderzoek niet zonder it-hulpmiddelen kan", stelt Neves Cordeiro. "Vooral het onderzoeken van gegevensverzamelingen is een heidens karwei en kan niet meer handmatig. Waar het vroeger enkele kantoortoepassingen betrof gaat het tegenwoordig soms om astronomische digitale gegevensbestanden met uiteenlopende bestandsformaten. Mijn rol is te bepalen welke hulpmiddelen dusdanig tactisch ingezet kunnen worden, zodat onze fraude-experts met de resultaten ervan uit de voeten kunnen."
4iTrust buigt zich voortdurend over de vraag hoe grote hoeveelheden data te doorzoeken zijn. Dat antwoord hangt samen met nieuwe ontwikkelingen, zoals de steeds sneller wordende hardware en de persoonlijke encryptiemogelijkheden in software, en wordt gevonden in een mix van zoek-, indicerings- en taaltechnologie, databeheermethodieken en beveiligingshulpmiddelen. "Wij zoeken naar het originele bewijs", zegt Hoekstra. "Hoe vind je, om maar wat te noemen, een e-mail van Bin Laden en elimineer je alle 'Ben Effe Laden'-grappen? Uiteindelijk standaardiseren wij de zoeksresultaten: of ze nu uit programma's als Excel, Lotus of SAP komen, alle gegevens presenteren we aan onze onderzoekers in een generieke database, gebaseerd op bijvoorbeeld Html of XML."

Pc afpellen

Een van de zoektechnologieën die 4iTrust hanteert is de zoekmachine Retrieval/Ware van Convera. Volgens Hoekstra een vindingrijke tool die instanties als de FBI en de Duitse immigratie- en naturalisatiedienst ("om details te achterhalen van woonplaatsen die vluchtelingen opgeven") eveneens gebruiken. In het bedrijfsleven vindt Retrieval/Ware ook zijn weg, onder andere bij Campina. De zuivelfabrikant gebruikt de zoekmachine om bewegingen van de concurrentie op internet in te gaten houden. Op deze manier kwam Campina achter de Japanse plannen om Yakult te introduceren op de gezondheidszuivelmarkt en had het in Vifit snel een antwoord klaar.
De tool voor taaltechnologie is van Nederlandse makelij: Knowlegde Concepts. "Toen ik bij de KLPD werkte, ontmoette ik een FBI-medewerker die me erop attent maakte dat zijn organisatie werkte met een prima tool van 'a few guys from the country Vught'." Volgens Hoekstra is het een diepgaande, verfijnde technologie met elementen die geschikt zijn voor digitaal fraude-onderzoek. "De software is meertalig: een Nederlandse vraag levert bijvoorbeeld ook Engelse, Franse en Duitse reacties op. Ook beschikt de applicatie over een handige thesaurus om vaktermen te herkennen. Neem een term als 'write-off' in een boekhouding: dat kan afschrijving betekenen, maar ook kwijtschelding, een voor fraudeonderzoek relevant verschil." De taalkundige software van Knowledge Concepts kan verder in teksten conceptueel zoeken (de letterlijke betekenis van een woord kan in de context anders zijn), en werkt met synoniemen. "Ook handig voor namen. Neem de naam Kadaffi, die schrijft men wel op twintig manieren."
Het bedrijf gebruikt in de opsporing hulpmiddelen als documentindexering, software om de gevoeligheid van een netwerk te testen, dataminingtechnieken en dataherstelsoftware (Encase van Guidance Software voor het in kaart brengen van digitale sporen op een computer, inclusief weggegooide bestanden en verloren clusters). Er zijn drie typen gegevensverzamelingen, stelt Neves Cordeiro: leesbare, herleidbare en verwijderde bestanden. 4iTrust kan met zijn hulpmiddelen gedelete fragmenten terugvinden, met name bij zware harde schijven met weinig bestanden. "Wij installeren de pc opnieuw en pellen daarna de inrichting laag voor laag af. Er zijn altijd sporen terug te vinden. Windows bewaart bijvoorbeeld nog allerlei data in geheugenbuffers, ook al heeft een gebruiker de internethistorie van bezochte sites geleegd. Ook op de proxy-server zijn sporen terug te vinden."

Hash-waarde

"Wij kijken anders naar geautomatiseerde omgevingen dan gebruikers", stelt Hoekstra. "Wij vragen ons af welk element in zo'n it-omgeving sporen achterlaat. Bij internationale datatransacties bijvoorbeeld spelen andere tijdzones soms een rol. Dat kunnen we achterhalen. Daarna volgt de vraag hoe deze informatie op een procesmatige manier veilig te stellen is. Je kunt niet zomaar de harde schijf eruit halen!"
Soms gaat het bedrijf mee met toezichthouders tijdens een inval met als opdracht het veiligstellen van digitale data. Naam en locatie blijven van te voren geheim, zodat het risico van beïnvloeding minimaal blijft. Neves Cordeiro: "Om de integriteit van de veiliggestelde gegevens te waarborgen, leggen we een denkbeeldige schil om de te onderzoeken omgeving: aan: we maken er een image van die een unieke waarde meekrijgt. Dit algoritme heet hash-waarde. Dat is belangrijk om het als bewijs in een rechtszaak te kunnen gebruiken. Deze werkwijze dient om de rechter te overtuigen dat er niet geknoeid is aan de computeromgeving. Als iemand deze bewijs-kloon toch aanpast, al is het maar minimaal, verandert de waarde al."

Standaarden
Binnen de forensische it-wereld neemt de roep om meer werk te maken van standaarden hoorbaar toe. Er is een door de Europese Unie ondersteund gremium - IACIS: The International Association of Computer Investigative Specialists - en bestaat een wereldwijd protocol (MD5, dat ook wordt toegepast voor het berekenen van de hash-waarden en het getal CRC, voor het controleren van gegevens op bestandniveau), maar er valt nog veel te doen aan het op elkaar afstemmen van werkwijzen.
De forensische firma heeft geen opsporingsbevoegdheid. Voor de 4iTrust-medewerkers gelden de gedrags- en beroepsregels van accountants en particuliere onderzoeksbureaus. In elke zaak moet vanwege de bescherming van de privacy worden vastgesteld wat er onderzocht mag worden. "In sommige gevallen zetten we alleen lichte middelen in, zoals hoor- en wederhoor bij sommige persoonsgerichte zaken", zegt Hoekstra. "Als er aanleiding is voor een omvangrijk onderzoek, en wij hebben dit zorgvuldig voorbereid, dan mag de privacy worden geschonden. Komt de zaak voor de rechter, dan moet onze gekozen aanpak de toetsing kunnen doorstaan."

Bewustwording

Onder advocaten, het openbaar ministerie en rechters leeft nog behoorlijk wat onwetendheid over digitaal sporenonderzoek en het gebruik van forensische it-hulpmiddelen, vindt het tweetal. Ter vergelijking: in Nederland is één officier van Justitie belast met ict-fraudezaken, terwijl in de VS dit aantal op 240 ligt. Het gebrek aan kennis van zaken geldt echter eigenlijk ook voor bedrijven en hun systeembeheerders, en zelfs voor forensische accountants. "It is voor hen een zwart gat geweest en voor een enkeling geldt dat nog steeds", weet Neves Cordeiro. "Dan stelt zo'n accountant voor om bij een fraude-onderzoek het e-mailverkeer te printen en handmatig door te lopen. Twaalf miljoen e-mails? Daar bestaan dus tools voor!"
Desondanks toont Hoekstra zich tevreden over de technologische stand van zaken. "Hoewel Nederland met beperkte middelen werkt, staat ons land als innovatief bekend, bijvoorbeeld rond het aftappen van internet. Het verschil met de VS is dat ze daar direct aan de slag gaan, alleen ze smijten met geld. Dat is niet altijd effectief. Wij hebben een keer een rekencentrum forensisch veilig moeten stellen. De opdrachtgever vroeg een Amerikaans bureau ons werk te controleren. Het lukte die Amerikanen niet ons werk onderuit te halen. Ze wilden maar niet geloven dat wij een klein team hadden ingezet."

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-03-18T00:00:00.000Z Rik Sanders
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.