“digitaal bewijs kent geen geheimen meer” IT Forensics – en de deskundige
Agenda
! Kort voorstellen/ doel van vandaag ! Wat verstaan we onder Forensic IT / E-Discovery ! Hoe kan het dat we verwijderde gegevens terug kunnen halen ! Praktijkvoorbeelden ! Discussie diepgang rapportage deskundige ! Wat verder ter tafel komt
kort voorstellen
Office Rotterdam Tel: +31 (0)10 2705111 Office Amsterdam Tel: +31 (0)20 5475757
Mark Hoekstra partner Forensic Services & Investigations Cell: +31(0)6-53978745
[email protected]
Doel van vandaag: Inzicht in de wonderen wereld van Forensische IT/E-Discovery en de rol van de deskundige daarbinnen
1
Agenda
! Kort voorstellen/ doel van vandaag ! Wat verstaan we onder Forensic IT / E-Discovery ! Hoe kan het dat we verwijderde gegevens terug kunnen halen ! Praktijkvoorbeelden ! Discussie diepgang rapportage deskundige ! Wat verder ter tafel komt
Te ingewikkeld?
Forensisch IT Onderzoek / E-Discovery: • • •
Forensisch verantwoord Chain of evidence Belastend en ontlastend Methoden en technieken
• •
Houd stand voor de rechtbank Rapportage Authenticiteit (waarde) van de informatie
Ø
Ø
Ø • • •
Efficiënt en Effectief Analoog al dan niet in combinatie met digitaal Inzet zoek-, taal- en analyse technologie Toegevoegde kennis naast specifieke aangetroffen informatie
2
Agenda
! Kort voorstellen/ doel van vandaag ! Wat verstaan we onder Forensic IT / E-Discovery ! Hoe kan het dat we verwijderde gegevens terug kunnen halen ! Praktijkvoorbeelden ! Discussie diepgang rapportage deskundige ! Wat verder ter tafel komt
Terughalen verwijderde gegevens - opslagmedia gelocked. - gegevens LAPTOP ingelezen. - gegevens DESKTOP ingelezen. - gegevens SERVER ingelezen. opslagmedia zijn ingelezen op De onderzoeksmachine en kunnen losgekoppeld worden. start analyse.
Forensic IT analyse -
Received: from deepthought (deepthought.office.it-forensic.nl [10.0.0.20]) IT Forensics Forensisch Onderzoek by gateway.office.it-forensic.nl (Postfix)Technisch with SMTP id C202E33 for
; Wed, 18 Oct 2000 14:54:08 +0200 (CEST) From: “Kram Hanzemans" To: Subject: Meer harddisk ruimte. Lokaliseerbare Leesbare Slack Space. Date: Wed, 18 bestanden. Octbestanden. 2000 14:54:08 +0200 Message-ID: De inhoud van een schijf valt in drie categorieë[email protected] uiteen: MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0000_01C03913.44B75000" 1. De X-Priority: normaal3 (Normal) leesbare bestanden; X-MSMail-Priority: Normal 2. De X-Mailer: lokaliseerbare verwijderde Microsoft Outlook IMO, Buildbestanden; 9.0.2416 (9.0.2910.0) Normal 3. De Importance: slack space van de schijf. X-MS-TNEF-Correlator: X-MimeOLE: Produced By Microsoft MimeOLEuit De slack space van de schijf bestaat verwijderde bestanden waarvan hetmaar begin en De normaal leesbare bestanden kunnenV5.00.2314.1300 met besturingssysteem (windows) ingelezen De lokaliseerbare verwijderde bestanden zijnhet bestanden die verwijderd zijn, waarvan Status: R eindpunt niet meer teen herleiden zijn. De kans is groot de waarop plek op deze de schijf al worden. X-Status: Nstartpunt nog wel het het eindpunt te herleiden zijn.dat De ook ruimte bestanden
overschreven isstaan met nieuwe data.met Mocht ditbegin niet worden het geval zijnde dan is ruimte de inhoud hetstart Deze bestanden aangemerkt een en een einde engegevens de waarvan de staan is overschrijfbaar. Het bestand kan herleid door tussen het Best zichtbaar BOFH, bestand inharddisk rauwe bestanden zich bevinden kanteniet overschreven en eindpunt opop te de vragen en vorm. opnieuw weg schrijven naar eenworden. andere schijf. Eindelijk heb ik dan de ruimte gevonden zodat we de grote hoeveelheid 'data’ die we uit moeten wisselen dan ook daadwerkelijk uit kunnen gaan wisselen. Ikzelf voel me niet zo op mijn gemak, volgens mij hebben een aantal mensen wat door! Groeten, Kram Hanzemans. PS. Deze mail verwijder ik direct als ik hem verstuurd heb, doe jij dat ook !
3
Agenda
! Kort voorstellen/ doel van vandaag ! Wat verstaan we onder Forensic IT / E-Discovery ! Hoe kan het dat we verwijderde gegevens terug kunnen halen ! Praktijkvoorbeelden ! Discussie diepgang rapportage deskundige ! Wat verder ter tafel komt
Prak>jkvoorbeelden (1) Casus : Medewerker gaat (kort voor faillissement) naar de concurrent en neemt bedrijfskritische gegevens mee. - Kostprijs gegevens - Relatiebestanden - Groeistrategie - Nieuwste R&D resultaten Onderzoeksstrategie Doel: Vermoeden bevestigen/ontkrachten, gebruik/misbruik ontmoedigen, claim schade. - Webmail resten geven opzet planning weer + verzenden gegevens - Sporen kopiëren naar externe HD, later bevestiging HD medewerker - Verwijderde zakelijke mail, nota aanschaf webvault - SMS blackberry verzoek nieuwe werkgever vast bellen met … - Interview opdrachtgever (laatste moment anders gegunde opdr.) - Bewijsbeslag - Mail inzicht andere contracten die langs deze weg zijn “weggekaapt”
Prak>jkvoorbeelden (2) Casus : Betwisten ontvangst instructie via mail • Partij • Partij • Partij • Partij • Partij
A A B B A
heeft niet uitgevoerd wat partij B heeft geïnstrueerd geeft aan de instructie via mail niet te hebben ontvangen heeft een verzendbevestiging claimt schade bij partij A zet advocaat in omdat zij oprecht het bericht niet denkt te hebben ontvangen en weigert te schikken
Onderzoeksstrategie Doel: Objectieve technische onderbouwing van het al dan niet verzenden en ontvangen • Mail partij A via een hosting/virusbescherming partij (partij C) • Kwaliteit verzendbevestiging, authenticiteit en juridische waarde • Onderzoek spam verslagen Partij C
4
Prak>jkvoorbeelden (3) Casus : Vonnis ter beschikking stellen correspondentie • de advocaat heeft namens cliënt een vonnis tot overdracht van correspondentie verkregen door gedaagde • gedaagde wil verstrekken maar dit maakt deel uit van mailwisselling die zou vallen onder legal privilege & privé correspondentie • advocaat wil zekerhuid over juistheid en volledigheid • gedaagde wil garanties ten aanzien van bescherming van rechten Ondersteuningsstrategie Doel: Uitvoering van het vonnis, volledige ter beschikking stelling van relevante correspondentie, medewerking van gedaagde en bescherming van rechten van gedaagde. • diverse gegevens dragers veiliggesteld en geïndexeerd • diverse beoordelingsslagen op basis van zoektermen e.d. • verstrekking van door beide partijen “goedgekeurde” gegevens aan beide partijen en bemiddeling bij de “discussie stukken”
Agenda
! Kort voorstellen/ doel van vandaag ! Wat verstaan we onder Forensic IT / E-Discovery ! Hoe kan het dat we verwijderde gegevens terug kunnen halen ! Praktijkvoorbeelden ! Discussie diepgang rapportage deskundige ! Wat verder ter tafel komt
Discussie (1) 1. 2.
Hoe diepgaand moet een deskundige technisch ingewikkelde zaken uitschrijven in zijn rapport? mag hij op basis van zijn deskundigheid zaken stellen? battle of experts? Voorbeeld: "Uit onderzoek binnen het Windows register blijkt dat de navolgende externe USB apparaten op de in onderstaand overzicht genoemde datum/tijdstippen onderzochte laptop aangesloten zijn geweest" Wat moet er in het rapport: - Uitleg wat is Windows - Uitleg wat is het Windows register - Uitleg hoe worden deze zaken vastgelegd in het Windows register - Uitleg met welke zekerheid kunnen hier conclusies aan worden verbonden Moet deze uitleg worden onderbouwd met officiële door Microsoft opgestelde documentatie? Bestaat die?
5
Discussie (2) De vraagstelling aan de deskundige - -
Juiste omschrijving die ook technisch te beantwoorden is? Voldoende scope en/of voldoende ruim gesteld?
Is er soms sprake van een ondeskundig gestelde vraag? Mag en moet de deskundige betrokken worden bij het definiëren van de vraag? Wat als de deskundige iets tegenkomt wat buitengewoon relevant is voor de context/waarheidsvinding maar niet valt onder de aan de deskundige gestelde vraag?
Wat verder ter tafel komt
6