DIGITAAL FORENSISCH ONDERZOEK
Digitaal Forensisch Onderzoek Met een digitaal forensisch onderzoek onderzoeken we elektronica zoals computers, telefoons en USB-sticks op sporen van gebruik, terwijl we tegelijkertijd de aanwezige gegevens veilig stellen
©2016 Ralon IT - v20160525_01
DIGITAAL FORENSISCH ONDERZOEK
Wat is er gebeurd met deze laptop of telefoon? Wie heeft ermee gewerkt en wat heeft deze persoon ermee gedaan? Dat zijn enkele vragen waarop een digitaal forensisch onderzoek van Ralon IT antwoord probeert te geven De maatschappij is de afgelopen drie decennia in een snel tempo gedigitaliseerd. Dat heeft als gevolg gehad dat we dagelijks gebruik maken van elektronica zoals laptops, telefoons en tablets. We dragen zulke elektronica voortdurend bij ons en gebruiken het tijdens een groot deel van ons dagelijks leven. Mensen hebben hun agenda’s, contacten, emails, foto’s en nog veel meer opgeslagen op hun telefoon en tablet. Steeds vaker worden deze gegevens ook opgeslagen op een server die ergens anders op de wereld staat: de zogenaamde opslag in the cloud. Dit alles opent de deur voor een speciale tak van het forensisch onderzoek Forensisch onderzoek genaamd digitaal forensisch onderzoek. Digitaal forensisch onderzoek Men denkt bij forensisch onderzoek al gauw aan opsporingsinstanties van overheidswege. Alhoewel Conventioneel forensisch onderzoek forensisch onderzoek voor een groot deel Forensisch onderzoek in opdracht van de overheid wordt uitgevoerd, is het zo dat de in conventionele zin digitale tak van forensisch onderzoek een veel bredere afzetmarkt is het onderzoek naar kent. Onderwijsinstellingen, bedrijven, onderzoekscommissies, vingerafdrukken, DNAlagere overheden en semi-overheidsinstellingen maken gebruik sporen en dergelijke. van digitaal forensisch onderzoek om duidelijkheid te krijgen En hoewel er enige over de gebruiksgeschiedenis van hun tablets, laptops en andere overeenkomsten in hardware. werkwijzen zijn, is het een Digitaal forensisch onderzoek
In de digitale forensische techniek lijkt de nadruk vaak te liggen op computers zoals laptops, desktops en servers. Maar het kan verder gaan dan dat. Alles wat op de een of andere manier digitale techniek bevat, kan voorwerp zijn van een digitaal forensisch onderzoek. Een telefoon en een tablet zijn voor de hand liggende voorbeelden. Maar zelfs een navigatiesysteem of een hele auto kunnen onderwerp van digitaal onderzoek zijn om de eenvoudige reden dat ze digitale elektronica bevatten.
©2016 Ralon IT - v20160525_01
heel andere tak van sport dan het hier genoemde digitaal forensisch onderzoek. Een groot verschil is in ieder geval dat conventioneel forensisch onderzoek bijna exclusief door instanties van de overheid wordt uitgevoerd.
DIGITAAL FORENSISCH ONDERZOEK
Het onderzoek in het kort Met een digitaal forensisch onderzoek bedoelen we een onderzoek naar de gebruiksgeschiedenis van elektronische apparatuur zoals laptops, tablets, telefoons en servers. Gedurende zo’n onderzoek komen we allerlei data tegen zoals documenten, internethistorie, locaties, afbeeldingen, video’s, communicatie, emails, databases en logbestanden. Die data stellen we veilig. Aan de hand van de veiliggestelde data wordt een beeld geschetst van de activiteiten en gegevens van een gebruiker. Het resultaat van het onderzoek is een tijdlijn waartegen activiteiten en gegevens van een gebruiker worden afgezet. Digitaal Forenisch Onderzoek Data kopiëren Selecteren Categoriseren Samenvatten Visualiseren
Locaties
Afbeeldingen
Agenda’s
Data
Communicatie
Databases
Wifihistorie
Internethistorie
Logs
Emails
Verwijderde data
Software
Tracked De genoemde tijdlijn verwerken we in een door ons zelf ontwikkelde softwareoplossing genaamd Tracked. Via Tracked kunt u de tijdlijn inzien en kunt u interactief de tijdlijn doorlopen. Op die manier kunt u zelf bepalen wat relevant is en waar u meer van wilt weten. Naarmate een punt op de tijdlijn verticaler gevuld wordt, is er meer data beschikbaar voor dat punt. Meestal stellen we een grove tijdlijn op die op uw verzoek verder verticaal wordt uitgediept.
2012
17-04 14:52
2013
02-06 05:15
22-11 17:56
Communicatie Communicatie Piet de Vries Henk Jansen Onderwerp RE: contract XY67 ...
15-07 02:41
28-12 19:32
Communicatie Afbeelding
Communicatie Data 1274_adreslijst.xlsx
DCIM_1526_41.jpg
Trefwoorden jet, van Hoek, Zomeren, Fred, Den Haag ...
Snelherkenning Henk Jansen, van Hoek, auto ...
Communicatie Communicatie Henk Jansen Piet de Vries Trefwoorden contract, bank, NL50RABO0147421403 ...
©2016 Ralon IT - v20160525_01
04-02 20:07
Communicatie Data Dossr78~1.tmp Trefwoorden van Hoek, XF-78-DG, kopiëren ...
Locatie Communicatie .tmp
SSID VHoek_AP IP_loc 192.168.2.18 IP_net xx.70.115.2
DIGITAAL FORENSISCH ONDERZOEK
Hardware Hardware kan als een verzamelnaam gezien worden voor bijna alles wat voor een digitaal forensisch onderzoek in aanmerking komt. U kunt denken aan een telefoon, laptop of tablet. Maar daar houdt het niet op; de lijst met hardware die onderzocht kan worden is vele malen groter. We geven een kort overzicht van meer reguliere hardware. Het overzicht is dus zeker niet volledig. Telefoon
Tablet
Internethistorie
Emails
Emails
SMS- en WhatsApp-verkeer
SMS- en WhatsApp-verkeer
Wifi-historie
Wifi-historie
Locaties
Locaties
Agenda’s
Agenda’s
Geïnstalleerde apps
Geïnstalleerde apps
Documenten
Camera
USB-stick/SD-kaart
Video’s
Afbeeldingen
Locaties
Video’s
Verwijderde data
Verwijderde data
Metadata
Metadata
Telefoongesprekken
Afbeeldingen
Laptop/desktop/server Emails
Internethistorie
Internethistorie
Documenten
(Wifi-)router IP-adressen
Historie aangesloten apparaten
Netwerkgebruik (VPN/TOR) Documenten( PDF’s/Word/ Excel/etc.) Afbeeldingen Video’s Logbestanden Metadata Databases Gebruikersgegevens Geïnstalleerde programma’s Broncode van software Instellingen Encryptiesleutels (SSL/PGP) Tijdelijke bestanden Verwijderde data
©2016 Ralon IT - v20160525_01
Navigatiesysteem Locaties
Wifi-historie
Andere hardware
Alle hardware met daarin een vorm van lange termijnopslag kan informatie opleveren met behulp van een digitaal forensisch onderzoek. Lange termijnopslag zit in bijna alle objecten waar elektronica in kan zitten: van auto’s tot zonnepanelen en van afvalcontainers tot zendapparatuur.
DIGITAAL FORENSISCH ONDERZOEK
Versleuteling en beveiliging Het versleutelen van data is steeds meer vanzelfsprekend geworden. Dat is een goede ontwikkeling met het oog op privacy en beveiliging van gegevens. Voor het kunnen uitvoeren van een digitaal forensisch onderzoek plaatst dat ons echter wel voor wat uitdagingen. Het betekent namelijk dat de beveiliging van de hardware moeten worden omzeild of doorbroken. Het kan zelfs zo zijn dat het ‘kraken’ van de hardware meer tijd in beslag neemt dan het onderzoek zelf. Vooral als het hardware is met nieuwere beveiligingstechnieken dan kan het langer duren voordat we toegang hebben tot de gegevens. En soms zullen we niet in staat zijn om het te kraken of te omzeilen. Dat is winst voor de ontwikkelaars van de beveiliging en vervelend voor u en ons omdat we het onderzoek dan niet goed kunnen uitvoeren. Als we niet de beschikking hebben over gegevens om op reguliere manier toegang te krijgen tot de hardware dan zijn we meestal aangewezen op twee methoden om toch een onderzoek te kunnen uitvoeren: het exploiteren van een beveiligingslek in de software of gebruik maken van de zogenaamde brute-force methode. Beide methoden lichten we nader toe. Exploiteren beveiligingslek In alle software zitten bugs en sommige daarvan leveren onbedoelde functionaliteit. Die functionaliteit is soms te gebruiken om toegang te krijgen tot beveiligde of verborgen gegevens. Dit soort bugs vormen daarom voor ons een mogelijkheid om toegang te krijgen tot gegevens. We worden hier wel voor een principiële kwestie geplaatst. Moeten we een bug die een ernstig veiligheidsprobleem veroorzaakt, melden bij de ontwikkelaar? Melden we de bug niet dan levert ons dat voordeel op tijdens het doen van toekomstige onderzoeken. Melden we het wel dan werkt dat dus toekomstig in ons nadeel maar geeft het de ontwikkelaar de mogelijkheid om z’n software te updaten en zo gebruikers te behoeden voor criminele hackers. In principe melden we ernstige veiligheidsproblemen altijd bij de ontwikkelaar maar stellen daarbij tegelijkertijd de verplichting dat de ontwikkelaar het veiligheidsprobleem meldt bij z’n gebruikers. Dit alles onder het responsible disclosure principe: het verantwoord melden van een veiligheidsrisico bij de verantwoordelijke personen of organisaties terwijl ze de tijd krijgen om het veiligheidslek te dichten voordat het veiligheidsrisico publiek wordt gemaakt. Brute-force Als de beveiliging bestaat uit een code, wachtwoord of gebruikersnaam/wachtwoord dan is het mogelijk om uiteindelijk toegang te krijgen door alle denkbare combinaties uit te proberen. Deze methode wordt brute-force genoemd. Het slagen van deze methode is voornamelijk afhankelijk van het aantal mogelijke combinaties en de beschikbare rekenkracht. Uiteindelijk zal deze methode altijd slagen maar het kan wel te veel tijd kosten. Vaak maken we gebruik van veel gebruikte combinaties om sneller resultaat te behalen.
©2016 Ralon IT - v20160525_01
DIGITAAL FORENSISCH ONDERZOEK
Het onderzoek in de praktijk Hoe verloopt een digitaal forensisch onderzoek bij Ralon IT? Dat is in de eerste plaats afhankelijk van wat uw wensen zijn. Zo ligt het eraan of u naar specifieke gegevens zoekt zoals bepaalde personen, gebeurtenissen of andere gegevens. U geeft ons dan een zoekinstructie mee. Maar u kunt ook vragen om een algemeen onderzoek waarbij we als het ware met een sleepnet door de gegevens gaan. Alles wat opvalt verzamelen we dan en verwerken we in Tracked (de tijdlijn, zie eerder in deze folder). Vervolgens kunt u dan ons een aanwijzing geven om het onderzoek in een bepaalde richting te verdiepen. Kortom, u bepaalt in eerste instantie in welke richting we gaan zoeken. De algemene werkwijze is als volgt:
1
2
3
4
5
Aanleveren hard- en software
Oriënterend onderzoek
Eerste rapportage
Verdiepend onderzoek 6
Eindrapportage
tracked
©2016 Ralon IT - v20160525_01
Verder onderzoek
DIGITAAL FORENSISCH ONDERZOEK
1
2
Aanleveren hard- en software Het onderzoek begint met het aanleveren van de hardware en eventuele bijbehorende software. Bij voorkeur voeren we het onderzoek uit op onze eigen locatie in Meppel. We hebben daar de noodzakelijke apparatuur en infrastructuur om onze werkzaamheden zo goed mogelijk uit te voeren. Echter kan het zo zijn dat het onwenselijk of onmogelijk is om de hardware te verplaatsen. In dit geval voeren we een deel van het onderzoek op locatie uit. Oriënterend onderzoek Een kort oriënterend onderzoek is meestal noodzakelijk om in te schatten wat de kans is op een bevredigend resultaat van een verdiepend onderzoek (4). We inventariseren de beveiliging en versleuteling. Die inventarisatie is voor een heel groot deel beslissend voor een vervolg.
4
De duur van het onderzoek is geheel afhankelijk van de hoeveelheid data en mate van beveiliging en versleuteling. Een tijdsinschatting is daarom meestal wel te maken na het oriënterend onderzoek. 5
Eerste rapportage Het oriënterend onderzoek levert een eerste rapportage op. In dat rapport staat onderbouwd beschreven hoe groot wij de kans achten dat een verdiepend onderzoek (4) het gewenste resultaat oplevert. Op basis van dit rapport besluit u of we verder gaan met het verdiepend onderzoek. Mocht uit deze rapportage blijken dat het niet zinvol is om verder onderzoek uit te voeren, dan kijken we samen met u naar een goed alternatief.
©2016 Ralon IT - v20160525_01
Eindrapportage en Tracked Het resultaat van een verdiepend onderzoek is een rapportage en een gevulde Tracked. In het rapport staat een samenvatting van de aangetroffen gegevens en er wordt in beschreven wat wij opvallend vonden. In Tracked staat vervolgens alle data. We hebben Tracked opgezet om het voor u makkelijk te maken om de gegevens te bekijken en te beoordelen. Het is denkbaar dat u de gegevens op een USB-stick of andere gegevensdrager wilt ontvangen. Dat behoort daarom altijd tot de mogelijkheden naast Tracked.
Het oriënterend onderzoek is meestal binnen een halve dag afgerond. 3
Verdiepend onderzoek Tijdens het verdiepend onderzoek gaan we de hard- en software volledig doorlichten. We verzamelen geautomatiseerd alle gegevens. Vervolgens verwerken we de verzameling in een database die de basis vormt voor Tracked. U kunt ervoor kiezen om tijdens het onderzoek op de hoogte te worden gehouden.
6
Verder onderzoek Soms blijken de resultaten van een verdiepend onderzoek aanleiding te geven bepaalde gegevens verder te analyseren. We gaan dan simpelweg het verdiepend onderzoek uitbreiden en een nieuwe eindrapportage opstellen met de bijbehorende Tracked.
DIGITAAL FORENSISCH ONDERZOEK
Doelgroepen Opsporingsinstanties Bedrijfsrecherches Onderwijsinstellingen Gemeenten/provincies Onderzoekscommissies Media Overige bedrijven/organisaties
Software Veel software ontwikkelen we zelf en we maken ook veel gebruik van open-source software. Dat doen we omdat elk onderzoek weer een eigen aanpak vraagt. En dan is het belangrijk dat we flexibel zijn. Door zelf software te ontwikkelen kunnen we ons snel aanpassen. Open-source software is meestal gratis en mag ook vaak commerciëel gebruikt worden. We vinden daarom dat we verplicht zijn om aan de open-source gemeenschap wat terug te geven. Dat doen we door een bijdrage te leveren aan bestaande open-source projecten of door zelf bepaalde software van ons aan de open-source gemeenschap beschikbaar te stellen.
Digitaal Forensisch Onderzoek aanvragen Neem geheel vrijblijvend contact op met ons via
[email protected] of +31(0)522 230 037 en we bekijken samen of een digitaal forensisch onderzoek resultaat kan opleveren. Vraagt u gerust; wat voor hardware het ook is, we zien het altijd als een uitdaging om zoveel mogelijk informatie boven water te halen! We willen u vragen om in ieder geval het invulformulier op de volgende pagina in te vullen als u een onderzoek aanvraagt. Deze kunt u mailen of per post versturen.
©2016 Ralon IT - v20160525_01
Aanvraagformulier Digitaal Forensisch Onderzoek regulier v1_20160601
Aanvraagformulier Digitaal Forensisch Onderzoek regulier Vult u a.u.b. het formulier zo volledig mogelijk in. Heeft u echter bepaalde gegevens niet dan kunt u ze weglaten.
1. NAW Bedrijf/organisatie Achternaam Voorletters Adres + huisnummer Postcode
Plaats
2. Project Projectnaam Uw referentie/inkoopnr. 3. Objecten ter onderzoek Omschrijving hardware1 Merk + type Serienummer Omschrijving hardware1 Merk + type Serienummer Omschrijving hardware1 Merk + type Serienummer 4. Onderzoeksdoel Wat is het onderzoeksdoel?2
1
Het type hardware: computer, laptop, harde schijf, USB-stick, camera etc. Geef hier aan wat het onderzoek moet opleveren. Voorbeelden: ik wil weten welke mensen er met deze computer hebben gewerkt of ik wil een complete lijst met bestanden + metadata.
2
5. Akkoordverklaring en ondertekening
Hierbij verklaar ik dat ik het recht heb om de/het bij punt 3 genoemde object(en) te onderzoeken en daarbij kennis mag nemen van de gegevens op de daarin aanwezige gegevensdrager(s). Ik verleen Ralon IT Digital Forensics, rechtsgeldig vertegenwoordigd door L. Kloeze, geboren 12-11-1985 te Meppel, hetzelfde recht. Ik ga ermee akkoord dat bij constatering van mogelijk strafbare gegevens Ralon IT Digital Forensics deze gegevens mag verstrekken aan de relevante opsporingsinstanties. Ik heb de akkoordverklaring gelezen en ga daarmee akkoord
Datum Handtekening
Plaats
Ralon IT Digital Forensics Blankenstein 102 7943 PE Meppel +31(0)522 230 037
[email protected] www.ralon.nl © Ralon IT Digital Forensics - 2016 - v20160525_01