Masterproef De Digitale Misdaad: Verzamelen en bewaren van digitaal bewijs. Studiegebied Industriële wetenschappen en technologie Opleiding Master in de industriële wetenschappen: Elektronica-ICT Afstudeerrichting Multimedia en informatietechnologie Academiejaar 2008-2009
Dieter Degrande Howest – departement PIH, Graaf Karel de Goedelaan 5, 8500 Kortrijk
Voorwoord Als voorwoord zou ik graag enkele mensen bedanken. Ik bedank de heer Jan Devos die mij enorm geholpen heeft en mij heeft bijgestaan daar waar ik vragen had. Graag zou ik ook Isabelle Vandooren willen bedanken die mij heeft bijgestaan tijdens de praktische uitwerking van het onderzoek. Mijn ouders mogen zeker niet aan deze lijst ontbreken, zij hebben het mogelijk gemaakt om hiertoe te komen. Naar het einde van deze thesis toe is het onderwerp boeiender geworden voor mij, en daarbij hoop ik dat dit werk een goede afsluiter is voor het geleverde onderzoek.
i
Inhoudsopgave Voorwoord Inhoudsopgave Lijst gebruikte van symbolen en afkortingen Lijst figuren en tabellen 1 Inleiding 2 Probleemstelling 3 Wet op de informaticacriminaliteit 4 De digitale misdaad 4.1 Wat is een digitale misdaad 4.2 Huidige situatie 4.2.1 Opslag van digitaal bewijs 4.2.2 Onderzoek van opgeslagen data 4.3 Verschil tussen digitale misdaad en traditionele misdaad 4.4 Soorten digitale misdaad 4.4.1 Phishing en defacen 4.4.2 Hacken en cracken 4.4.3 Malafide software 4.4.4 Informatie gerichte misdrijven 4.4.5 Misdrijven gericht op een persoon 4.5 Technieken gebruikt ter bewijsvoering of preventie van digitale misdaden 4.6 Misdrijven gelinkt aan de technieken 4.7 Verzamelen van bewijs 4.8 Rechtsgeldigheid van de technieken 4.8.1 Timestamps 4.8.2 CRC/Hashing 4.8.3 DSA 4.8.4 Versleuteling van gegevens 4.8.5 Biometrische identificatie/smartcards 5 Analyse van een reële case 5.1 Situatieschets 5.2 Analyse 5.3 Mogelijke verbeteringen 5.4 Praktische uitwerking 5.5 Richtlijnen voor het verzamelen van digitaal bewijs rond deze case 6 Analyse van gegevens 6.1 Analyse van vluchtige gegevens 6.2 Vastleggen van vluchtige gegevens 6.3 Inhoudsanalyse van vluchtige gegevens 6.4 Rechtsgeldigheid van de gebruikte middelen 6.5 Richtlijnen voor het verzamelen van vluchtige data als bewijsmateriaal 7 Algemene richtlijnen voor het verzamelen van digitaal bewijs 8 Besluit Literatuurlijst
i ii iii iv 1 2 3 4 4 4 4 5 5 6 7 8 8 9 9 10 11 12 13 13 13 14 14 14 16 16 16 18 19 24 25 25 25 26 31 32 33 34 35
ii
Lijst van gebruikte symbolen en afkortingen AES: Advanced Encryption Standard. Een algoritme die voorziet in de (symmetrische) versleuteling van gegevens. Tevens de standaard voor symmetrische versleuteling en daarmee opvolger van DES. CoS: Chain of Custody. Dit is de ketting die alle gebeurtenissen met elkaar in verband brengt. CRC: Cyclic Redundancy Check. Dit is een methode om een pakket data te verifiëren. DDoS: Distriuted Denial of Service. Dit is een aanval op een computer waarbij verschillende computers worden gebruikt om het doelwit plat te leggen met verzonden berichten. DEB: Digital Evidence Bag. Dit is een medium waarin digitaal bewijs wordt opgeslagen. DES/3DES: (Triple) Data Encryption Standard. Een algoritme die voorziet in de (symmetrische) versleuteling van gegevens. DSA: Digital Signature Algorithm. Dit is een algoritme om een digitale handtekening aan een bestand toe te voegen. FRR: False Rejection Ratio. FAR: False Acceptance Ratio. HTTPS: HyperText Transfer Protocol Secure. Dit is een beveiligd internet protocol met het doel om veilig gegevens uit te wisselen. IP-adres: Internet Protocol adres. Dit is het adres dat elke computer krijgt bij connectie op het internet en die de identificatie voorziet voor deze computer. ISP: Internet Service Provider, het bedrijf die in de internetconnectie voorziet van particulieren en bedrijven. RAM-geheugen: Random Acces Memory. Dit is het werkgeheugen in een computer. RSA: Dit is een algoritme die voorziet in de versleuteling van gegevens op asymmetrische wijze. USB: Universal Serial Bus. Dit is een seriële bus op de computer om randapparatuur op aan te sluiten. WORM: Write Once Read Many. . Op dit medium kan de opslag altijd gelezen worden, maar kan er slechts eenmaal naar geschreven worden
iii
Lijst figuren en tabellen Figuren: 1 Vergelijking misdaden en technieken 2 FAR procenten 3 Biometrie/smartcard 4 Schematische voorstelling misdaad 5 Situatieschets praktische uitvoering 6 Remote Desktop login 7 Remote Desktop activatie 8 Event Viewer (Security log) 9 Event analyse eerste server 10 Event viewer van de tweede server 11 Ipconfig eerste server 12 Voorbeeld heropstarten server 13 MDD software output 14 HTML code in het RAM-geheugen 15 Herkenbare tekst in het RAM-geheugen (1) 16 Herkenbare tekst in het RAM-geheugen (2) 17 Volatility opties 18 Identificatie van het geheugen 19 Lopende processen 20 Register waardes voor het SYSTEM proces
Tabellen: 1 Kwaadwillige activiteit per land (Symantec 2009) 2 Inhoud van inloggebeurtenis 3 Mantech’s MDD gebruiksaanwijzingen
11 15 15 16 19 20 20 21 21 22 23 23 26 27 27 28 29 29 30 30
7 22 25
iv
1 Inleiding Een misdaad kan verschillende vormen aannemen. In onze huidige maatschappij, waar het digitale platform zijn intrede gedaan heeft, heeft ook de digitale misdaad zijn intrede niet gemist. Bij traditionele misdaden zijn er betrouwbare en beproefde onderzoeksmethodes zoals DNA-analyse, sporenonderzoeken of vingerafdrukken. Op het digitale platform kunnen geen enkele van deze technieken worden toegepast, dit terrein is nog braakliggend. In dit werk word er op zoek gegaan naar hoe we forensisch digitaal bewijsmateriaal kunnen verzamelen dat acceptabel is voor een rechtbank. Om dit te kunnen doen moet eerst het begrip digitale misdaad gedefinieerd worden. Net zoals er verschillende vormen van traditionele misdaad zijn (moord, diefstal, ….) zijn er ook verschillende vormen van digitale misdaad (phishing, hacken, …) . Sommige van deze misdaden zijn niet louter een technisch gebeuren maar spelen ook in op de menselijke factor, net zoals traditionele misdaden. Eerst wordt het verschil tussen een traditionele misdaad en een digitale misdaad van naderbij bekeken. Daarna word er bekeken wat er tegen kan gedaan worden om ze tegen te gaan of te voorkomen in het beste geval. Naast de misdaadvormen zijn er ook middelen om de misdaden te bestrijden of te voorkomen, ook deze worden onderzocht. De methode voor het verzamelen van bewijs is minstens even belangrijk als het bewijs zelf, daarom worden de verschillende methodes voor bewijsinzameling ook van dichterbij bekeken en getoetst aan de zgn. Daubert-criteria. Deze vaak gehanteerde criteria geven aan waaraan een onderzoeksmethode moet voldoen om stand te houden in een rechtbank en aldus als forensisch kan bestempeld worden. Naast een theoretische studie werden ook een aantal praktische uitwerkingen gedaan aan de hand van een reële case. De case was een voorbeeld van een ontslag van een medewerker omdat deze vermoedelijk het interne netwerk had gesaboteerd. Bij deze case waren een aantal verklaringen en een aantal andere digitale documenten (op papier afgedrukt) aanwezig. De vraag die gesteld was, was of het meegeleverde bewijs voldoende was om de medewerker schuldig te verklaren aan de sabotage. Deze case werd ook praktisch uitgewerkt, er werd op zoek gegaan of alle meegeleverde bewijs terug te vinden was. Naast deze case werd ook een onderzoek gedaan naar de opslag van vluchtige gegevens in een computer. Deze gegevens kunnen even belangrijk zijn als de hard opgeslagen data op een harde schijf of ander medium. Deze gegevens kunnen mogelijke wijzigingen bevatten die nog niet opgeslagen waren, maar ook alle mogelijke programma’s die aan het lopen zijn. Hieruit kan men soms beter afleiden wat de misdadiger aan het doen was dan met hard opgeslagen data. Als laatste punt worden enkele algemene richtlijnen opgesteld voor het verzamelen en bewaren van digitaal bewijs.
1
2 Probleemstelling We leven in een tijd van digitale informatie en data. Ook de criminaliteit wordt digitaal. Het probleem met de digitale misdaad is dat dit een totaal andere soort misdaad is dan wat men gewoon is. Deze misdaadvormen vereisen dan ook aangepaste opsporingsopsporing- en bewijsmethoden. Deze nieuwe misdaadvorm krijgt momenteel nog redelijk veel vrij spel in de maatschappij hoewel er toch al specifieke wetten werden uitgevaardigd. We verwijzen hiervoor naar de wet op de informatiecriminaliteit van november 2000. Interessant aan deze wet is dat hierbij ook de mogelijkheid geboden wordt om een geschikt onderzoek te doen. Het grote probleem bij een digitale misdaad is immers het verzamelen van het digitale bewijs. Digitale informatie die op een computer staat, zowel vast (harde schijven, flash geheugens,…) als vluchtig (RAM, registers, …) is heel vatbaar voor contaminatie. Er moet dus digitaal bewijs kunnen verzameld worden die in de digitale informatie te vinden is, maar dit moet kunnen zonder de originele data te beschadigen of te wijzigen. Men hanteert hiervoor het begrip digital evidence bag, het digitale equivalent van de gewoon bewijscontainer. In de DEB wordt digitaal bewijs opgeslagen zonder dat het kan gecontamineerd worden maar waar toch onderzoek op kan uitgevoerd worden , een typisch voorbeeld hiervan zou kunnen zijn een kopie van een harde schijf die in een image-formaat weggeschreven wordt. Natuurlijk mag het origineel in geen geval gewijzigd worden nadat deze image genomen werd. Om nu naar de essentie van dit werk te komen, hoe kan digitaal bewijs het best verzameld en bewaard worden? Dit proces gebeurt in enkele stappen. Een eerste stap is het bepalen wat digitale misdaad nu precies is met al zijn verschillende vormen. In een tweede stap worden deze misdaden van naderbij bekeken: hoe worden deze misdaden gepleegd en wat kan er tegen gedaan worden. In een laatste stap wordt er gezocht naar het achtergelaten bewijs die uit deze data kan gehaald worden. Hiervoor zullen een aantal richtlijnen worden opgesteld om te kunnen standhouden in een rechtbank. Het probleem splitst zich in twee takken, het eigenlijke bewijsmateriaal en de methode voor het verzamelen van dit bewijsmateriaal. Beiden moeten voldoende gegrond zijn om te kunnen standhouden in een rechtbank.
2
3 Wet op de informaticacriminaliteit1 Aangezien deze masterproef gaat over het verzamelen van bewijsmateriaal is het natuurlijk onontbeerlijk om een aantal dingen te vermelden die in de wet staan welke relevant zijn met de informaticacriminaliteit. Een eerste heel belangrijke wet is de wet op de privacy en hoe deze toegepast wordt in het digitale domein2. Toen er nog geen wetgeving was, was het moeilijk om een persoon te beschuldigen van schending van de digitale privacy omdat deze nog niet aan banden gelegd was. Dit impliceert dat de digitale privacy minimaal was. Onder digitale privacy verstaat men dat de persoon in kwestie te allen tijde zelf moet kunnen bepalen wat er met zijn persoonsgegevens gebeurt. Er moest dus een wetgeving hieromtrent komen. In 1992 werd de originele wet op de privacy aangepast met een hoofdstuk rond de digitale privacy, en later in 2001 een koninklijk besluit hierbij bijgevoegd. In dit werk van Taeymans en Dumortier (2001) worden ook een aantal Europese richtlijnen in vermeld. Deze wetten zijn richtlijnen betreffende het verwerken van persoonsgegevens, er staat bijvoorbeeld in dat niemand persoonlijke gegevens mag gebruiken zonder goedkeuring van de persoon in kwestie. Een ander aspect die wordt toegelicht is het aan banden leggen van de gegevensverspreiding, met name niemand mag onrechtmatig persoonsgegevens doorgeven aan andere partijen. Natuurlijk staan er ook richtlijnen omtrent sancties in vermeld en ook wat mag en niet mag wanneer een misdaad gebeurd is. Bij dit laatste kan gezegd worden dat iedere partij die persoonsgegevens opslaat van een persoon die in een misdaad betrokken is deze gegevens ter beschikking van het gerecht moet stellen. Een andere belangrijke wet is de wet inzake informaticacriminaliteit, de wet van 28 november 2000, zijn er ook richtlijnen opgesteld die straffen opleggen aan daders van een digitale misdaad. Er wordt vermeld wat men onder digitale misdaad verstaat, (dit is het schaden van gegevens door wissen, wijzigen of invoegen van andere gegevens), alsook het onrechtmatig verwerken met het oog op persoonlijke winstdoeleinden en schade. Zowel de daders als de opdrachtgevers kunnen hiervoor een straf krijgen.
1
Deze wet is verschenen in het staatsblad op 3 februari 2001. De wet rond de bescherming van de persoonlijke levenssfeer verscheen in het staatsblad op 18 maart 1993, het koninklijk besluit omtrent het digitale gedeelte verscheen op 13 maart 2001. 2
3
4 De Digitale misdaad 4.1 Wat is een digitale misdaad? Digitale misdaad wordt in het Engels gerefereerd als cybercrime. Cybercrime kan gedefinieerd worden als volgt: ‘Cybercrime is criminal activity done using computers and the Internet.3’ Ofwel vrij vertaald in het Nederlands: ‘Digitale misdaad is een criminele activiteit waarbij computers en het Internet gebruikt worden’. In een werk van Van de Voorde, Goethals en Nieuwdorp deel II (2003, pg 101) staat de volgende definitie:’De term informaticacriminaliteit is een dubbelzinnig begrip. Het dekt zowel criminele aanvallen tegen computers en netwerken als allerlei soorten van misdrijven waarbij van computers en netwerken gebruik gemaakt kan worden.’ Dit kan verder genuanceerd worden door een gedetailleerdere kijk op wat dit precies is. Een misdaad kan men omschrijven als het toebrengen van schade aan persoonlijke eigendom of het zich onrechtmatig toe-eigenen van vermogen. Een digitaal misdrijf brengt dus schade toe aan de persoonlijke data van individuen of groepen. Dit kan door het manipuleren van data (wijzigen, wissen of delen invoegen)4. 4.2 Huidige situatie Misdaad is een fenomeen van alle tijden, dit kan gaan van het stelen van een appel tot het plegen van een moord en allerlei andere mogelijkheden waarbij een slachtoffer persoonlijke schade heeft geleden. In onze huidige maatschappij verandert de wereld meer en meer in een digitale wereld, dit betekent dat ook de misdaad niet achterop hinkt en dus ook het digitale tijdperk is binnen gestapt. We kunnen deze huidige situatie schetsen na het lezen van enkele artikelen rond de digitale misdaad, deze artikelen worden hieronder besproken. 4.2.1 Opslag van digitaal bewijs De opslag van digitaal bewijs werd van naderbij bekeken. Deze informatie werd gevonden in een artikel geschreven Frank Adelstein et al (2006). We kunnen vaststellen dat digitale data die te onderzoeken valt in zijn pure vorm wordt gekopieerd, dus letterlijk een kopie van de schijf, dit impliceert ook dat er geen metadata is bijgevoegd. Metadata is data over de data, zoals omschrijving, betekenis, oorsprong, auteur,… van gegevens. Om data van een handtekening te voorzien gebruikt men een hashing methode5 (het artikel vermeld de MD5 hashing methode, maar elke moderne hashing methode kan ook gebruikt worden), deze karakteriseert de data die op een medium staat. Naast de opslag in zijn ruwe vorm zijn er ook een aantal bedrijven die zich specialiseren in het opslaan van gegevens op andere manieren, deze staan niet vermeld in dit artikel. Over deze meer gesofisticeerde manieren van opslag wordt niet verder op ingegaan omdat deze bedrijven hun manier van opslaan niet prijsgeven. Digitaal bewijs op zichzelf is bijna altijd in een formaat dat niet leesbaar is voor een mens, om te kunnen gelden als bewijs moet dit leesbaar gemaakt worden, een geprinte versie kan gelden in een rechtbank aangezien dit aanzien zal worden als een referentie naar het origineel. Om dit uit te leggen, moeten we eerst de ‘best evidence rule’ uitleggen. Deze regel zegt dat als er een origineel exemplaar beschikbaar is voor de rechtbank, een kopie niet voldoende is als bewijsmateriaal. Een geprinte versie is dus geen kopie, enkel een leesbaar gemaakte versie van een digitaal document. Er is wel een standaard in ontwikkeling die de opslag van data en ook metadata van een aantal richtlijnen voorziet. Eens de dataopslag voorzien is van een standaard kunnen we op zoek gaan naar het vormen van een digital evidence bag. Dit wordt beschreven in het artikel van Hosmer (2006). 3
Deze definitie kan men terugvinden op de website http://www.techterms.com/definition/cybercrime Meer gedetailleerde informatie is terug te vinden in het boek van Taeymans en Dumortier(2001, pg 53-55) 5 Hashing is comprimeren van data tot een vaste lengte, meerdere bestanden kunnen echter dezelfde hash geven. 4
4
Een DEB kan men omschrijven als een opslag voor digitale data waarin deze gevrijwaard wordt voor contaminatie.. Dit kan bijvoorbeeld gerealiseerd worden met een dataopslag apparaat zijn waarop men enkel kan lezen maar niet schrijven, bijvoorbeeld een CD-ROM. Om contaminatie te voorkomen moet de DEB enkele beveiligingen bezitten: Authenticatie van de onderzoeker. De authenticatie kan op op drie niveaus gerealiseerd worden: o Door middel van een authentiek voorwerp, meestal een smartcard. o Door middel van een uniek gegeven in dit geval een wachtwoord. o Door middel van een een biometrische identificatie. Data-integriteit. De DEB moet ondertekend zijn met een handtekening waarin de exacte tijd verwerkt zit6. Toegangscontrole tot de delen van de DEB. Er moet controle kunnen uitgevoerd worden op wie de verschillende delen van de DEB mag bekijken en onderzoeken. Onweerlegbaarheid van de gedane operaties. Elke operatie die uitgevoerd wordt op de DEB moet vastgelegd worden om later de CoS te vervolledigen. 4.2.2 Onderzoek van opgeslagen data Tegenwoordig kunnen we ook vaststellen dat de dataopslag apparaten steeds grotere capaciteiten hebben. Dit heeft grote gevolgen om alle data die erop staat tijdig te kunnen onderzoeken. Ook de tools die gebruikt worden vragen veel computertijd om de grote hoeveelheden data te onderzoeken. Bovendien wordt de te onderzoeken data complexer omdat een groot deel van methodes zoals onder andere het verspreiden van data meer en meer ingeburgerd raken waardoor deze data beter kan verborgen worden. We kunnen het onderzoeksproces versnellen door de te onderzoeken data parallel te verwerken, of efficiënter te verwerken door bijvoorbeeld de data selectief te gaan onderzoeken (bv: enkel foto’s onderzoeken in een kinderporno zaak), maar dit is dan natuurlijk weer een nadeel omdat er cruciaal bewijs kan gemist worden. Bovenstaande methoden zijn goed voor niet-vluchtige media, maar er zijn uiteraard ook vluchtige media zoals RAM-geheugen. De gegevens daarop verdwijnen onherroepelijk zodra de stroom onderbroken wordt. Dergelijke geheugens kunnen heel wat cruciale data bevatten en kunnen bovendien snel gewist worden als bijvoorbeeld de stekker uitgetrokken wordt tijdens een inval. 4.3 Verschil tussen digitale misdaad en traditionele misdaad Om digitale misdaad te kunnen onderzoeken kunnen we eens het verschil tussen de digitale misdaad en de gewone misdaad bekijken. Een eerste groot verschilpunt is dat digitaal bewijs (meestal) niet tastbaar is terwijl fysisch bewijs dat wel is. Een ander verschilpunt kan gezien worden als het observatiebewijs, wat een agent ter plaatse observeert kan dienen als bewijs, in een pure digitale misdaad kan een agent niet altijd bewijs leveren door enkel observatie. Bij een klassieke misdaad is de plaats delict de volledig af te bakenen, bijvoorbeeld een huis, bij een digitale misdaad kan men dat niet. De perimeter van een digitale misdaad is het Internet en dus de hele wereld. Men kan dus de plaats delict op het digitale niveau niet volledig afbakenen. Bij een fysische misdaad kunnen er ooggetuigen zijn, het digitale equivalent kan men eventueel zien door middel van logbestanden, zij kunnen ons vertellen wie of wat er op dat systeem aanwezig was en wat er daarop gebeurd is.
6
Deze tijdstempel werd gestandaardiseerd door de U.S. Airforce in 2003.
5
Naast de verschilpunten kan de wet op de privacy beschouwd worden als een gelijkenis, in beide gevallen heeft men recht op privacy tenzij men betrokken is in een misdaad, dan valt dit recht volledig weg. 4.4 Soorten digitale misdaad We kunnen de digitale misdaad verdelen in 2 categorieën: 1)Een computer is het doel van een misdaad. 2)Een computer wordt als middel gebruikt voor het plegen van een misdaad. In deze paragraaf worden de verschillende soorten digitale misdaden beschreven. Zoals omschreven in de definitie is een digitale misdaad een aanval via het gebruik van een computer en/of het Internet. Als dit via het Internet gebeurt, moet men op zoek gaan naar sporen en zien of men de CoS kan opstellen om de dader met de feiten van de misdaad te kunnen verbinden. Hieronder staat een lijst van digitale misdaden, aangezien de verschillende vormen van digitale misdaad snel evolueren kan er verwacht worden dat deze lijst snel achterop zal hinken met de actualiteit.
Phishing: Het opzetten van een valse website die er uit ziet net zoals de echte website met het opzet om persoonlijke gegevens te stelen. Gegevensdiefstal: Diefstal van gegevens van het interne netwerk, persoonlijke gegevens, bankgegevens,… Defacen: Een aanval op een website met de bedoeling om de website visueel te veranderen. Hacken: Het inbreken op een computer om de gegevens te bekijken/wijzigen. Cracken: Dit is hacken met kwaadwillige bedoelingen. Kwaadwillig programmeren ofwel kwaadaardige software: Programma’s die schade toebrengen aan systemen, we kunnen deze onderverdelen in de volgende categorieën: o Trojaans paard: Een onschuldig lijkend programma die een kwaadaardig stuk code bevat. Deze kwaadaardige code kan data op een computer wijzigen of buitenstaander toegang verlenen tot deze computer. o Zombies: Ook wel zombie-computer, een computer die kan gebruikt worden bij het helpen van een DDoS-aanval (distributed denial of service) of als doorverbinding van een misdaadpad. o Virus: Dit is de algemene term voor kwaadaardige code, meestal wijzigen van broncode van een programma die kwaadaardige bijwerkingen kan hebben, verdere opsplitsing kan zijn macro-virussen en e-mail virussen. o Macro-virus: Een virus dat zich in niet uitvoerbare bestanden nestelt, zoals documenten. De meest voorkomende virussen vallen onder deze categorie. o E-mail virus: Een virus dat gebruik maakt van het e-mail systeem om zich verder te verspreiden. o Wormen: Net zoals een e-mail virus, maar deze vorm verspreidt zich volledig automatisch. o Scripting/code insertion: Scripts invoegen in websites met de bedoeling om gevoelige informatie te onderscheppen. o Spyware: Dit zijn programma’s die persoonlijke gegevens verzenden over het Internet naar externe partijen. Cyber terrorisme: Aanvallen op een computer met de bedoeling om paniek te scheppen.
6
Information warfare: Het verzamelen van gevoelige geheime informatie om een voordeel te verkrijgen tegenover een concurrent, dit natuurlijk op illegale wijze. Cyberstalking: Het gebruik van Internet om iemand of een groep herhaaldelijk kwaadwillig lastig te vallen. Virtual crime: Een misdaad zoals in de echte wereld, maar dan uitgevoerd op een virtueel platform. Fraude: anders voorstellen van zaken dan ze werkelijk zijn, hier op digitale manier. Identity theft: het gebruik van iemands identiteit om een voordeel te krijgen bij iets of om een diefstal te plegen in zijn naam.(verkrijgen van de identiteit kan bijvoorbeeld gebeuren bij phishing) Netwerksabotage: Dit is het saboteren van een computernetwerk met als doel schade aan te brengen in de werking ervan. Piraterij: Het illegaal kopiëren van bestanden en deze dan ook verspreiden onder de mensen. Scamming: Een vorm van oplichterij waarbij fraudeurs het slachtoffer geld proberen afhandig te maken door middel van valse beloftes. Fraude: Het onrechtmatig veranderen van gegevens voor persoonlijk winstbejag.
We kunnen stellen dat deze lijst de meest omvangrijke digitale misdaden omvat. Er kan hieruit geleerd worden dat de digitale misdaad zeer verscheiden is en ook zeer omvangrijk aan het worden is. In tabel 1 staan enkele percentages van digitale misdaden per land van herkomst Tabel 1 – Kwaadwillige activiteit per land (Symantec 2009)
Met het belangrijker worden van het Internet in het dagelijks leven moet men heel voorzichtig zijn persoonlijke gegevens. Men moet ook op de eigen veiligheid letten van onder andere wat men download en upload. Natuurlijk speelt de menselijke factor hier ook een rol, men moet altijd heel voorzichtig zijn met persoonsgegevens en bankgegevens, en deze vooral nergens uploaden waar men niet 100% zeker is dat het veilig is. In de volgende paragrafen worden deze misdaden wat verder uitgelegd met een aantal voorbeelden. 4.4.1 Phishing en defacen Phishing is een voorbeeld van een misdaad waar persoonsgegevens onrechtmatig bemachtigd worden. Deze persoonsgegevens kunnen dan misbruikt worden in een identiteitsdiefstal of het leeghalen van een bankrekening. We maken een onderscheid tussen phishing en gegevensdiefstal omwille van de reden dat gegevensdiefstal op meerdere manieren kan
7
gebeuren, phishing is hier slechts één vorm van. Phishing kan bijvoorbeeld gebeuren door een script bij een website te voegen om de data niet enkel naar de bedoelde bestemming te zenden, maar ook naar de misdadiger waarmee hij dan illegale praktijken kan uitvoeren. Een andere manier van gegevens stelen is het simpelweg onderscheppen van deze gegevens en deze dan misbruiken. Een voorbeeld van defacen kan het veranderen van een webpagina zijn waarbij een kwajongensstreek wordt uitgehaald en men een onaangename pagina verkrijgt. Een ander meer ernstig voorbeeld is het veranderen van een webpagina waarbij bijvoorbeeld een extra in te vullen veld wordt toegevoegd zodanig dat belangrijke persoonsgegevens kunnen worden opgevangen door de dader. 4.4.2 Hacken en cracken Wanneer een persoon zichzelf onrechtmatig toegang verschaft tot een andere computer of server spreken we van hacken. Dit gebeurt meestal door de toegangscodes te verkrijgen op onrechtmatige manieren zoals gegevensdiefstal of simpelweg een oude toegangscode die men nog weet van vroeger, welke nog niet uit de databank verwijderd is. Hacken op zich is niet schadelijk voor de gegevens bestanden, dit wordt meestal beschouwd als een soort van kunnen om te bewijzen dat men wel degelijk binnenraakt in een systeem. Hacken wordt pas ernstig wanneer men de gegevens gaat veranderen om schade aan te richten, of om zelf gegevens te bemachtigen. Hacken op deze kwaadwillige manier wordt cracken genoemd. Een voorbeeld is dat men een server hackt om er een gedefacete website op te plaatsen. Op deze gedefacete website kan bijvoorbeeld aan phishing gedaan worden. Een ander voorbeeld is wanneer men een databank binnenbreekt om data ten gunste van zichzelf te veranderen. 4.4.3 Malafide software We kunnen nu wat dieper ingaan op alle vormen van kwaadwillig programmeren. Deze vorm van digitale misdaad is één van de oudste vormen van digitale misdaad. Computervirussen zijn al ouder dan het Internet, vroeger werden deze verspreid door onder andere zich te nestelen in andere bestanden die via diskettes of data cd’s werden doorgegeven. De oervorm van virussen was bedoeld om computers lam te leggen door cruciale bestanden te verwijderen of het opstarten van een computer te saboteren. Virussen kunnen nu verder opgesplitst worden in macro virussen en e-mail virussen. Macro virussen zijn stukjes code die bijvoorbeeld in een macro van Microsoft Excel staan om schade aan te richten. E-mail virussen zijn dan zoals de naam het zelf zegt via e-mail verzonden, of zichzelf daaraan hecht met de bedoeling zoveel mogelijk computers te treffen zonder dat het slachtoffer ervan iets weet tot het te laat is. Het eerste virus dat gekend was, is ongeveer 23 jaar oud, dit virus was gekend als het Brain virus en was een code die zich verborgen hield in de opstart sector van een computer. Het eerste e-mail virus daarentegen is slechts 10 jaar oud, dit virus werd gedoopt onder de naam Melissa. Melissa was een virus dat zichzelf verborg in een document en zichzelf verspreidde naar de eerste 50 contactpersonen van een persoon. Dit was natuurlijk nefast voor het dataverkeer, vooral toen de technologie nog niet zo efficiënt was dat het netwerkverkeer dit aankon. Een Trojaans paard kreeg zijn naam omwille van een slapend stukje code dat op een bepaald tijdstip actief wordt en dan ook zijn schade aanricht. Deze stukjes code worden onder andere verspreid wanneer een misdadiger een aantal computers als zombie computers wil inschakelen voor zijn aanval, deze Trojaanse paarden activeren de zombie computers dan allemaal tegelijk en deze kunnen dan bijvoorbeeld als doorverbinding of als hulpcomputer voor een DDoS aanval dienen, DDos kunnen we omschrijven als een aanval op een systeem die aan het Internet verbonden is waar men enorme hoeveelheden data naartoe verzendt vanaf verschillende computers. Het doelwit van de aanval kan het dataverkeer niet meer aan en
8
loopt vast of vertoont enorme vertragingen wanneer een normale opdracht binnenkomt. Scripting kan gebruikt worden onder andere bij het defacen van een website, of voor gegevensdiefstal, een script is een stukje code die automatisch enkele handelingen uitvoert. Een geheel andere soort van kwaadaardige code is spyware, gewoon door de naam te analyseren zien we al het woord “spy”, dit betekent spion en “ware” wat slaat op software. Spyware heeft de bedoeling om gegevens over onder andere het internetgedrag te verzamelen (persoonlijke gegevens of bankgegevens). Het overgrote deel van spyware is bedoeld voor reclamedoeleinden, zoals spam. 4.4.4 Informatie gerichte misdrijven Cyberterrorisme is terrorisme op het digitale niveau. Zoals gewoon terrorisme is het doel van deze misdaad paniek te scheppen. Een methode die men gebruikt om dit soort paniek te scheppen is onder andere het wijzigen van een website door er een bericht op te plaatsen zoals bijvoorbeeld een racistische boodschap, of een valse boodschap waarbij het volk een bepaalde groepering begint te vrezen. Een andere vorm van cyberterrorisme is het verzenden van valse e-mail boodschappen. Information warfare wordt meestal gebruikt om een significant competitief voordeel te behalen, meestal gebeurt dit door de interne systemen van een bedrijf te hacken en gegevens te stelen, of door een persoon die toegang tot het systeem heeft om te kopen om de informatie te verkrijgen. Netwerksabotage is zoals de naam impliceert een sabotage van het interne netwerk, dit kan onder andere door een aantal verbindingen weg te nemen waardoor een deel niet meer werkt, of een overmaat aan dataverkeer te veroorzaken waardoor het netwerk lam gelegd wordt. 4.4.5 Misdrijven gericht op een persoon Cyberstalking gebeurt door bepaalde personen die psychische stoornissen ondervinden, deze personen vallen het slachtoffer herhaaldelijk lastig. Dit gebeurt bijvoorbeeld via sms berichten, forums op het internet, of elk ander elektronisch communicatiemiddel. Een virtual crime kan gepleegd worden op elk virtueel platform, dit is geen echte misdaad, maar enkel een virtuele misdaad. Een voorbeeld hiervan is een scam op het virtuele niveau waarbij men persoonlijke dingen of geld steelt door minderwaardige dingen in de plaats te stellen. Identiteitsdiefstal gebeurt door het stelen van persoonlijke gegevens en die ten onrechte te gebruiken voor minder legale doeleinden, een voorbeeld hiervan is de naam van een andere persoon gebruiken om een stemming te vervalsen door meerdere keren te stemmen met dan de gestolen identiteiten, dit kan natuurlijk enkel op het digitale platform. Enkele misdaden die zich niet enkel op het digitale platform zelf bevinden maar er toch heel nauw aan verwant zijn, zijn piraterij, scammen en fraude. Piraterij is een vorm van misdaad die al heel lang bestaat, ook op het digitale niveau. Piraterij gebeurt wanneer men data die onder het auteursrecht beschermd is op een illegale manier kopieert en verspreidt. Vroeger gebeurde dit door diskettes en cd’s te kopiëren, vandaag de dag wordt deze data verspreid door uploaden en downloaden van films, software, muziek. Scammen gebeurt door valse beloftes te geven aan hun slachtoffers, bijvoorbeeld door het beloven dat wanneer je een investering doet in een niet bestaand bedrijf waar je dan tientallen keren je geld mee terugverdient, deze beloftes op het digitale platform worden onder andere verspreid via reclame boodschappen op het internet of via e-mail. Op het digitale niveau is fraude te omschrijven door wanneer een persoon gegevens verandert in een databank waarbij hijzelf winst zal maken, bijvoorbeeld meer uitgaven in een bedrijf wegschrijven dan er effectief gebeurd zijn, het overschot gaat dan naar de dader.
9
4.5 Technieken gebruikt ter bewijsvoering of preventie van digitale misdaden Naast de verschillende soorten digitale misdaden kunnen ook eens de verschillende soorten technieken die men gebruikt in een bewijsvoering, maar ook enkele technieken of tools ter preventie van digitale misdaden onderzocht worden. Deze technieken worden in een de volgende lijst omschreven: Timestamps: Gebruikt bij het loggen van gebeurtenissen om te noteren wanneer iets gebeurd is. CRC: Cyclic Redundancy Check, gebruikt om aan te tonen dat de data die verstuurd is wel degelijk de data is die aankomt. Hashing: Het comprimeren data tot een vaste lengte, een wijziging in de bron resulteert in een andere hash. DSA: Digital Signature Algorithm, een digitale handtekening om de authenticiteit aan te tonen. Versleuteling: Gegevens coderen en decoderen met een sleutel ter bescherming van de inhoud. Firewall: Een digitale muur ter bescherming van de computereenheid tegen inbraak. Software (antivirus/antispyware): Een software programma ter bescherming/genezing van een computer die geïnfecteerd is met kwaadwillige software. Biometrie: Het gebruiken als sleutel, wachtwoord, … door middel van biologische gegeven zoals netvliesscan, vingerafdruk, stem,… Smartcards: Het gebruiken als sleutel, wachtwoord,… van een externe identificatiekaart. Enkele voorbeelden omtrent deze technieken: Timestamps worden vooral gebruikt om verschillende links met elkaar in verband te brengen door te bekijken op welk tijdstip een gebeurtenis plaatsvond, dit kan natuurlijk enkel gebruikt worden wanneer er op de te onderzoeken computer een logbestand te vinden is waar alle gebeurtenissen in staan. Een voorbeeld hiervan is wanneer een persoon op een computer inlogt en verbinding maakt met een andere computer om een ketting van computers te gebruiken om zelf minder opspoorbaar te worden. Een CRC is nodig om zeker te zijn dat wanneer men data kopieert deze data nog altijd hetzelfde is, dit is natuurlijk geen 100% garantie, afhankelijk van welke soort redundancy check er gebeurt kunnen meerdere fouten in eenzelfde databestand toch dezelfde CRC terug geven. Dit is net hetzelfde als met hashing, hashing versleutelt de data tot een vaste lengte, waardoor de originele data niet terug vinden is uit enkel de hash. Een nadeel hiervan is dat meerdere databestanden kunnen leiden tot dezelfde hash. Het DSA is niet zoals een normale handtekening, het is gebaseerd op cryptografie waarbij een aantal voorwaarden moeten voldaan zijn: De handtekening mag niet vervalsbaar zijn. De handtekening moet authentiek zijn. De handtekening mag niet herbruikbaar zijn. De handtekening mag niet te veranderen zijn. De handtekening moet onweerlegbaar zijn. Het is gebaseerd op asymmetrische versleuteling, namelijk het versleutelen van gegevens door middel van een sleutel en het ontsleutelen door middel van een andere sleutel. De boodschap en de ontcijfersleutel, ook wel publieke sleutel genaamd, worden op verschillende wijze verzonden. De vercijfersleutel (private sleutel) is dan de digitale handtekening van de boodschap. Het versleutelen van gegevens kan op verschillende manieren gebeuren, namelijk via enkele verschillende algoritmes. Een aantal van die algoritmes zijn onder andere DES, 3DES, RSA,
10
AES. Op de algoritmes van de methodes zelf wordt niet verder ingegaan, alleen enkele kenmerken van deze versleutelingalgoritmes. Van elk algoritme is het berekenen van de versleutelde boodschap en het ontsleutelen ervan publiek bekend, iedereen kan deze algoritmes gebruiken. Wat het kraken van de versleutelde boodschap dan zo hard maakt is de lengte van de sleutel, op brute kracht duurt het heel lang om deze te kraken. Enkele methodes ter bescherming tegen enkele soorten van digitale misdaden zijn zowel een firewall als software tegen virussen en spyware. Deze software beschermt de computer tegen computervirussen, spyware en inbraken van buitenaf. Een aantal identificatiemethodes buiten het gewone gebruik van wachtwoorden kunnen we onderverdelen in twee categorieën, namelijk de biometrische authenticatie en het gebruik van smartcards zoals bijvoorbeeld een elektronische identiteitskaart, of een apparaat waarop een lange code staat nodig om in te loggen. In de biometrische categorie kunnen we verschillende soorten vinden, namelijk vingerafdrukken, retinascans, irisscans, oorafdrukken, spraak, gelaatsherkenning, geografie van de hand,… 4.6 Misdrijven gelinkt aan de technieken Nu we zowel de verschillende technieken en de verschillende misdaden besproken hebben kunnen we deze in verband met elkaar brengen, dit is te zien in figuur 1.
Figuur 1 – Vergelijking misdaden en technieken
Op figuur 1 is te zien hoe de verschillende misdaden kunnen verholpen of vermeden worden. Elk rood vakje betekent dat de techniek kan gebruikt worden tegen de misdaad. Bijvoorbeeld tegen gegevensdiefstal kan zowel timestamps, CRC, hashing, DSA gebruikt worden, en de technieken ter preventie zijn een firewall, het versleutelen van gegevens en het gebruik van 11
biometrie en smartcards. Wat meer uitleg hierover, bij gegevensdiefstal moet men uitpluizen wanneer de data gestolen is, dit gebeurt door middel van deze timestamps, deze kunnen ook aantonen wie of wat er op dat moment verbonden is/was met het systeem. CRC kan gebruikt worden om de gestolen data te identificeren, net zoals hashing, DSA wordt dan gebruikt om te onderzoeken of de data effectief afkomstig is van het slachtoffer, natuurlijk enkel als de sleutel gekend is. Een firewall kan inbreuken in het systeem verhinderen of toch op zijn minst moeilijker maken. Biometrie en smartcards maken gebruik van niet aangesloten toegangsmaatregelen, wat het binnenbreken toch al heel wat bemoeilijkt, het is namelijk niet evident om de exacte bitstroom na te maken die een vingerafdruk maakt om toegang te krijgen tot het systeem. 4.7 Verzamelen van bewijs Wanneer een misdaad gepleegd wordt zijn er bijna altijd sporen terug te vinden van wat er allemaal gebeurd is, deze data wordt opgeslagen in logbestanden van allerhande formaten. Deze logbestanden kunnen voorkomen in een beveiligde vorm of in een onbeveiligde vorm. Een analyse van deze logbestanden kan uitwijzen welke computer op dat moment verbonden was en wie er allemaal ingelogd is op het systeem. We kunnen het verdere onderzoek opsplitsen in drie verschillende stappen zoals vermeld in de tekst van Kerr(2005, pg 290): Onderzoek van data van derden Onderzoek van data in transit Onderzoek van de opgeslagen data van de misdadiger Wat meer uitleg rond deze verschillende stappen is aangewezen. Aangezien een digitale misdaad bijna altijd gebeurt via het doorverbinden van meerdere systemen, moeten de logbestanden op al deze systemen onderzocht worden. Deze systemen hebben meestal een verminderd afweersysteem. Deze systemen zijn dan alom bekend bij digitale misdadigers, ook omdat niet alle systemen een logbestand bijhouden. Wanneer de CoS doodloopt, moeten er andere manieren bekeken worden om toch eventueel tot de misdadiger te komen, dit kan gebeuren door op de plaats waar het spoor doodloopt een bewakingssysteem te plaatsen, dit analyseert alle data die langs deze knoop in het netwerk passeert en kan eventueel enkele verdere sporen opleveren. Dit deel van het onderzoek gebeurt altijd in enige onzekerheid omdat men nooit 100% zeker is dat de misdadiger diezelfde knoop zal gebruiken bij zijn volgende misdaad, toch is er uit de praktijk bekend dat misdadigers meestal de minder beschermde systemen blijven gebruiken om verdere misdaden te plegen. Natuurlijk omdat de misdadiger weet dat hij een mindere inspanning moet doen om deze knoop te kunnen doorverbinden. Als men uiteindelijk de misdadiger kan vatten moet men de data op het systeem van de misdadiger kunnen onderzoeken, dit is ook niet zo evident als op het eerste zicht lijkt. Wanneer een inval gebeurt bij een misdadiger moet men heel snel reageren. De misdadiger kan alle vluchtige data verwijderen door de stekker te verwijderen. Enkel de data die opgeslagen is op de harde mediums zoals harde schijven en flashgeheugens blijven dan behouden. Dit kan voldoende zijn om het onderzoek tot een goed einde te brengen, maar dit is niet altijd het geval. Wanneer de vluchtige data inhoud bevat over een misdaad in wording of een net gepleegde misdaad kan dit een degelijk bewijs vormen tegen de misdadiger. Het is dus van cruciaal belang dat er methodisch en snel te werk gegaan wordt. Enkele methodes die kunnen gebruikt worden om de vluchtige data toch te kunnen onderzoeken zonder deze te schaden of een zware voetafdruk achter te laten zijn onder andere: het wegschrijven van het RAM geheugen naar een slaapstand bestand (*.hib) of het wegschrijven van de geheugen naar een image file, deze methode wordt in de praktijk getest en er wordt gezien wat men kan reproduceren uit deze data, dit wordt besproken in het praktische deel van dit werk in hoofdstuk 6.
12
4.8 Rechtsgeldigheid van de technieken We kunnen de rechtsgeldigheid van deze verschillende methodes nu eens van naderbij bekijken. Om dit te doen moeten we beroep doen op richtlijnen die bepalen wat een rechtsgeldige methode is, deze richtlijnen zijn bekend onder de naam Daubert-criteria, deze zijn te vinden in het boek van Van de Voorde, Goethals en Nieuwdorp deel I(2003,pg 287). Deze criteria zijn opgesteld onder de vorm van enkele vragen, wanneer een antwoord negatief is op deze vragen is de methode niet geldig in een rechtbank. De criteria zijn: Is de gebruikte methode reproduceerbaar? Is de gebruikte methode onderworpen aan peer reviews en algemeen aanvaard? Is de foutenmarge van de methode bekend? Is de techniek aanvaard in de wetenschappelijke wereld? We kunnen deze verschillende criteria nu eens toepassen op de verschillende technieken ter preventie of bewijsvoering van de digitale misdaden. 4.8.1 Timestamps: Reproduceerbaar? Ja men kan altijd een timestamp op een gebeurtenis plaatsen. Peer reviews/aanvaard? Aangezien ieder logging systeem timestamps gebruikt kan men wel zeggen dat de methode algemeen aanvaard is. Foutenmarge? De foutenmarge is altijd berekenbaar afhankelijk van wanneer een bestand verzonden is en over hoeveel verschillende systemen men in het netwerk moet passeren om deze te bepalen. Volgens de IEEE 802.1AS standaard moet de totale fout van de timestamp minder dan 48ns zijn, dit is zowel de fout op het verzenden van de timestamp als de fout op het ontvangen van de timestamp. Wetenschappelijk aanvaard? De methode wordt gebruikt in allerhande wetenschappelijke onderzoeken, dus kan men aannemen dat ze aanvaard is in de wetenschappelijke wereld. 4.8.2 CRC/Hashing: Reproduceerbaar? Ja, deze methode is reproduceerbaar, eenzelfde databestand zal altijd dezelfde hash en CRC geven. Peer reviews/aanvaard? Aangezien dat de methodes waarop deze stukjes data gevormd worden open source zijn kan iedereen deze toepassen en testen om te kijken of ze dezelfde resultaten bekomen. Men kan dus aannemen dat de methode aanvaard is door het algemene publiek. Foutenmarge? Men kan de foutenmarge van een hash/CRC in twee delen opsplitsen, namelijk de kans dat een hash/CRC fout berekend wordt, maar ook de kans dat twee verschillende bestanden dezelfde hash/CRC opleveren. De kans dat er een foute hash/CRC berekend wordt is louter afhankelijk van de kans op een foute berekening of bitfout in het lezen van het bronbestand. De kans dat twee verschillende bestanden eenzelfde hash opleveren is enkel afhankelijk van hoe lang de hash/CRC is, hoe kleiner deze is, hoe groter de kans op eenzelfde hash/CRC. Wetenschappelijk aanvaard? Wegens de grote verscheidenheid aan verschillende hashing algoritmes kan men aannemen dat er onderzoek naar gedaan wordt, dit betekent dat de wetenschap deze techniek aanvaard en steeds wil verbeteren.
13
4.8.3 DSA: Reproduceerbaar? Deze methode is reproduceerbaar, het is een asymmetrische versleuteling van het bronbestand met een publieke en private sleutel. Eenzelfde bestand kan opnieuw versleuteld worden met de private sleutel en ontcijferd worden met de publieke sleutel. Peer reviews/aanvaard? De mensen gebruiken deze techniek om een handtekening te plaatsen onder hun berichten, men kan dus zeggen dat de methode aanvaard is. Foutenmarge? Aangezien deze methode gebaseerd is op wiskundige bewerkingen op een bronbestand kan men de foutenmarge berekenen op de bewerkingen en de foutenmarge op het incorrect inlezen van het bronbestand en het incorrect wegschrijven van het resultaat. Wetenschappelijk aanvaard? Aangezien deze techniek een wiskundige toepassing is kan men wetenschappelijk bewijzen dat men het gecodeerde bericht terug kan decoderen in originele vorm. Men kan hierdoor aannemen dat de methode wetenschappelijk aanvaard is. 4.8.4 Versleuteling van gegevens: Reproduceerbaar? De methode waarmee versleuteld wordt is algemeen bekend, dus het reproduceren van de gecodeerde en gedecodeerde bestanden kan men relatief eenvoudig doen. Peer reviews/aanvaard? Aangezien dat de methode open source is kan iedereen de methode gebruiken en kan men aannemen dat het aanvaard is. Foutenmarge? De foutenmarge kan ook hier berekend worden door de fouten op de verschillende wiskundige berekeningen, ook terug de fout op het inlezen van het bronbestand en wegschrijven van het resultaat moet men in rekening brengen. Wetenschappelijk aanvaard? Deze methode is terug gebaseerd op wiskundige technieken die worden toegepast op een bronbestand, dus kan men aannemen dat deze methode algemeen aanvaard is binnen de wetenschappelijke wereld. 4.8.5 Biometrische identificatie/smartcard: Reproduceerbaar? Elke persoon heeft zijn eigen karakteristieken, als men aanneemt dat deze niet veranderen in een welbepaalde tijd kan men deze techniek altijd reproduceren en hetzelfde resultaat verkrijgen. Het identificeren met een smartcard is altijd reproduceerbaar wanneer men aanneemt dat de kaart intact blijft. Peer reviews/aanvaard? Men kan stellen dat de meeste vormen van biometrische identificatie algemeen ingeburgerd zijn, op de huidige computers/laptops staat meestal een vingerafdruk herkenningstoestel om in te kunnen loggen. Hetzelfde kan gezegd worden van smartcards, een elektronische identiteitskaart is hiervan een voorbeeld. Foutenmarge? De foutenmarge hierop kan opgesplitst worden in het fout identificeren van een juiste persoon (type 1 fout, FRR) en het vals accepteren van een juiste persoon (type 2 fout, FAR). We kunnen vaststellen dat de vingerafdruk het laagste ligt met een FAR van 0,0% en een FRR van 1%. Het hoogste ligt spraak met een FAR van 1,6% en een FRR van 8,1%. Deze gegevens zijn te vinden op figuur 2. Op figuur 3 kunnen we het verband zien tussen de veiligheid en bruikbaarheid van de verschillende methodes. De foutenmarge op de identificatie via een smartcard kan twee oorzaken hebben, een kapotte of onleesbare kaart en een gestolen kaart. Wetenschappelijk aanvaard? Deze methoden zijn nogal recentelijk, maar wegens de unieke kenmerken van het menselijk lichaam kan men via de wetenschap aannemen dat de technieken veilig genoeg zijn om te implementeren.
14
Figuur 2 – FAR procenten
Figuur 3- Biometrie/smartcard
We kunnen hieruit besluiten dat wanneer de gebruikte technieken voldoende gedocumenteerd zijn om te kunnen reproduceren men de resultaten hiervan kan gebruiken om rechtsgeldig bewijs te vormen tegen de misdadiger. 15
5 Analyse van een reële case 5.1 Situatieschets Om verder onderzoek te doen naar het digitale bewijs werd er gebruik gemaakt van een reële case waarin een digitale misdaad gepleegd is. In deze case werd een persoon ontslagen vanwege een vermoedelijke inbreuk in het computersysteem van het bedrijf en een sabotage van het interne netwerk. Deze inbreuk zou gepleegd zijn van op de computer van de vriendin van de beklaagde en de inbreuk zou gepleegd zijn met de administrator inlog gegevens. De inbreuk hield in dat de persoon die op dat moment ingelogd was op het systeem een verandering gedaan heeft aan het register waardoor een server van het bedrijf een tijd lang niet meer functioneerde. Een simpele schets is te vinden op figuur 4. Computer misdadiger
Netwerk
Login server via VPN Firewall Mailserver (doelwit) Figuur 4 – Schematische voorstelling misdaad
5.2 Analyse In de case zijn enkele documenten te vinden waarin de misdaad beschreven wordt, de grote vraag die hier gesteld wordt is: ‘Zijn de bijgeleverde documenten voldoende bewijs dat deze persoon deze misdaad gepleegd heeft?’. De avond van de misdaad is slechts 1 extern IP-adres te bespeuren in de IP-logs, dit zou het IP-adres geweest zijn van de vriendin van de beklaagde. Nadien zou er verdere indringing geweest zijn in het interne netwerk met het administrator profiel, slechts 5 personen zouden dit wachtwoord kennen, dit impliceert dat iedereen die het administrator wachtwoord kent een mogelijke verdachte is. Het is ook niet zeker dat slechts 5 personen dit wachtwoord kenden, de beklaagde geeft aan in een e-mail dat nog minstens 1 andere persoon die niet vermeld staat in de lijst van personen met administrator toegang dit wachtwoord kende. Door deze aanmelding werd het IP-adres veranderd in een IP-adres die toegekend was door een firewall. Hiervan zijn geen enkele logs te bespeuren in de case, waardoor er een onvolledige CoS ontstaat. Er is een apparaat uitgeschakeld waardoor de server na het heropstarten niet meer kon functioneren. Er waren volgens de aanklager 3 benodigdheden om de sabotage te plegen: 1. Het wachtwoord van de beklaagde 2. Het wachtwoord om tot de firewall toegang te krijgen 3. Het administrator wachtwoord van de server Er is sprake van een Excel bestand waarop de wachtwoorden en de gebruikers die tot de firewall toegang willen krijgen met elkaar gelinkt worden. Helaas is deze informatie niet aanwezig in de case en is er ook nergens terug te vinden welk IP-adres omgevormd werd naar het IP-adres die door de firewall verleend werd.
16
Er is ook sprake van een ‘onveilig’ beleid rond wachtwoorden in het bedrijf. De wachtwoorden waren voor iedere gebruiker dezelfde voor elke applicatie die een login verwachtte en deze wachtwoorden werden zelden veranderd, in de 5 jaar dat de beklaagde tewerkgesteld was, was het administrator wachtwoord slechts 5 keer veranderd. Ook is er sprake dat de beklaagde op regelmatige basis zijn e-mails las op het bedrijfsnetwerk, aangezien er voor elke applicatie hetzelfde wachtwoord was, kon de misdadiger dit wachtwoord onderscheppen terwijl de beklaagde zijn mailbox aan het lezen was en dit misbruiken. Een ander zeer sterk argument die dit nog kan versterken is dat er gebruik gemaakt werd van een onbeveiligde verbinding (HTTP in plaats van HTTPS) tijdens het inloggen, waardoor tijdens het versturen van het wachtwoord men dit gewoon kan lezen. Naast deze kwestie kan er ook nog sprake geweest zijn van corruptie, er zijn namelijk beveiligings logbestanden waar er slechts twee personen toegang tot hebben, deze zouden er alle belang aan kunnen gehad hebben om deze te veranderen om zelf als onschuldige uit de bus te komen. De misdadiger kon ook vooronderzoek gedaan hebben en het IP-adres van de vriendin van de beklaagde kunnen namaken door gebruik te maken van een techniek genaamd IP-spoofing. Hierdoor kan de CoS misleid worden en naar een andere schuldige wijzen. Tevens is er ook opgemerkt dat de logbestanden op de mailserver in een gewoon tekstformaat geschreven zijn, dit wil dan ook zeggen dat men gewoon kan lezen wie er op welk moment op de mailserver ingelogd was. Dit betekent ook dat deze logbestanden heel simpel aan te passen zijn, het toevoegen van een IP-adres of het verwijderen van een IP-adres uit deze logbestanden is dan ook uitermate simpel. Aangezien de misdadiger het administrator wachtwoord ter zijner beschikking had en deze mailserver logbestanden enkel gewijzigd kunnen worden door een administrator is het slechts een koud kunstje om zijn eigen IP-adres te wissen. Dit was dan jammer voor de beklaagde aangezien hij als enige nog een IP-adres in de log had staan. Het enige ontegensprekelijke wat kan afgeleid worden is dat er een persoon die ingelogd was als administrator een sabotage heeft gepleegd op het interne netwerk. Dit kan echter niet met 100% zekerheid terug gekoppeld worden naar de beklaagde. Naast al deze feiten kunnen we het bewijsmateriaal eens verder onder de loep nemen. Een vraag die gesteld zou kunnen worden is: ‘Hebben de logs een digitale integriteit?’. Om hieraan te voldoen moet aan enkele voorwaarden voldaan worden:
De logs moeten accuraat zijn: de bron moet betrouwbaar zijn en moet correct zijn tot op een zeker nauwkeurigheid. Echtheid van de logs: de bron moet de echtheid van de logs kunnen aantonen, er zijn meerdere manieren om te knoeien met timestamps. De logs moeten voldoende integriteit hebben: er mogen geen wijzigingen gebeuren met de logs. Onweerlegbaarheid van de logs: alles moet kunnen gekoppeld worden met wat er effectief gebeurd is. Accountability van de logs: de links tussen de gebeurtenissen moeten kunnen gecontroleerd worden door een derde partij.
De logs van beide servers tonen aan dat de tijd van de servers niet gesynchroniseerd is. Dit betekent dan ook dat men gemakkelijk de tijd van een server zodanig kan aanpassen dat het lijkt alsof een IP-adres op hetzelfde tijdstip verandert van het ene in het andere. Dit betekent dus dat de digitale integriteit niet bewezen kan worden hier. Verder kunnen we de methode van bewijsverzameling van dichterbij bekijken, dit doen we aan de hand van de Daubert-criteria.
17
Is de gebruikte methode reproduceerbaar? Er is geen sprake van een uitgestippelde methode. Is de gebruikte methode onderworpen aan peer reviews en algemeen aanvaard? Er werd enkel een externe deskundige aangeduid om dit probleem verder te onderzoeken. Is de foutenmarge van de methode bekend? Aangezien er gewerkt wordt op een minder veilig netwerk kan men aannemen dat de foutenmarge heel hoog ligt. Is de techniek aanvaard in de wetenschappelijke wereld? ‘Ad hoc’ is geen wetenschappelijk aanvaarde methode.
5.3 Mogelijke verbeteringen Naast het analyseren van deze case kunnen we ook eens bekijken wat men kon verbeteren hierin. Dit gebeurt door een aantal aandachtspunten aan te halen in de case en deze verder te analyseren en te bekijken wat voor verbetering vatbaar is. In de case staat vermeld dat alle administrators toegang hebben tot de logfiles, deze reden kan gebruikt worden om te vermelden dat er fraude in het spel zou kunnen zijn. Daarnaast is er ook geen zekerheid of er direct na het gebeuren van de feiten een verzegelde versie van deze logfiles gebeurd is, dit door middel van een soort DEB, waardoor er vermoedelijk fraude kan gebeurd zijn. Dit kan men verbeteren door een aantal kleine aandachtspunten te volgen: Er kan voor gezorgd worden dat de logfiles gebackupt worden op een plaats waar zelfs de administrators moeilijk toegang tot hebben. Deze maatregel zorgt ervoor dat de gegevens een stuk moeilijker te frauderen vallen en indien er toch gefraudeerd werd kan er verder onderzoek gedaan worden. Men moet ervoor zorgen dat alle gegevens in de logfiles direct na de misdaad vergrendeld worden. Dit staat niet vermeld in de case zelf, de logfiles kunnen gecompromitteerd zijn door het te lang wachten met de vergrendeling ervan. Een ander aandachtspunt is zeker de minder goede beveiliging van het interne netwerk. Zeker in onze huidige maatschappij is het versturen van persoonlijke gegevens over het internet een serieuze zaak. Aangezien men hier inlogde op de servers via het HTTP-protocol, en niet via het HTTPS-protocol, zijn alle persoonlijke gegevens niet versleuteld verzonden en dus leesbaar voor iedereen die deze kan onderscheppen. Dit kan dan ook als voordeel voor de beklaagde aanzien worden. Om dit punt te kunnen verbeteren kan men de beveiliging verhogen door het HTTPS-protocol in te voeren. Men kan ook een aantal andere hulpmiddelen gebruiken om uitsluitsel te geven over wie ingelogd is op welk moment, dit kan bijvoorbeeld door gebruik te maken van biometrische identificatie (bijvoorbeeld een vingerafdruk), maar ook via het gebruik van een USB-sleutel. Op deze USB-sleutel staat dan een unieke code die bevestigd wie is ingelogd op het systeem. Door deze hulpmiddelen te gebruiken is het relatief eenvoudig door gebruik te maken van een database en deze dan te vergelijken met de ingelogde persoon om te achterhalen wie precies ingelogd is op welk moment. Dit kan dan ook als preventie gebruikt worden door niet bevoegde personen te weigeren op het systeem. Een ander zeer cruciaal punt die zeker de doorslag gegeven heeft in deze case is dat niet alle logs zijn meegegeven om de volledige CoS op te bouwen. Aangezien de logfiles van de firewall niet meegegeven zijn en de tijdsgegevens op beide servers niet gesynchroniseerd zijn kan men niet met 100% zekerheid zeggen dat de beklaagde effectief op het moment van de misdaad was ingelogd op de getroffen server. Samen met het feit dat de logs op de mailserver slechts tekstbestanden zijn kan erop wijzen dat een andere persoon ingelogd was op het systeem en deze logs veranderd heeft om sporen te wissen. Men moet dus de volledige CoS
18
kunnen opstellen om zekerheid te hebben over de dader. Dit kan hier enkele door alle mogelijke logs mee te geven. Een andere verbetering is het gebruik van IP-logging software die een onveranderbaar formaat gebruikt, en dus geen gewoon tekstformaat op de mailserver. 5.4 Praktische uitwerking Om wat meer grip te hebben op de materie werd een praktisch onderzoek gedaan om de omstandigheden van deze case na te bootsen. Om dit te realiseren gebruiken we twee servers en bootsen we het getroffen deel van het netwerk in het bedrijf na. Aangezien we over de firewall in de case weinig of niets weten kunnen we deze ook niet nabootsen in deze uitwerking. Een eerste stap is het opzetten van het netwerk, dit gebeurd door de eerste server (pih-id1) van twee netwerkkaarten te voorzien, de eerste netwerkkaart heeft als doel de connectie met het Internet te verzorgen, de tweede is de link naar de andere server. De tweede server (pih-id2) heeft slechts 1 netwerkkaart nodig om verbinding te krijgen met het internet. Op figuur 5 is de situatie geschetst.
Internet Pih-id1
Pih-id2
Figuur 5 – Situatieschets praktische uitvoering
Om de CoS te kunnen vervolledigen hebben we een logbestand nodig van wie er ingelogd is op ieder moment, dit kan gebeuren door de beveiligingslogs te bekijken en na te gaan welke personen ingelogd zijn. Om dit wat gemakkelijker te maken kunnen we de veiligheidslog filteren en op zoek gaan naar enkele specifieke gebeurtenissen, deze zijn:
672 An authentication service (AS) ticket was successfully issued and validated. 673 A ticket granting service (TGS) ticket was granted. 674 A security principal renewed an AS ticket or TGS ticket. 675 Pre-authentication failed. This event is generated on a Key Distribution Center (KDC) when a user types in an incorrect password. 678 An account was successfully mapped to a domain account. 680 Successful or Failed logon attempt - see Description 19
682 A user has reconnected to a disconnected terminal server session. 683 A user disconnected a terminal server session without logging off.
Bovenstaande lijst geldt enkel voor Windows XP en Windows Server 2003 families, indien er nog andere logon events gegenereerd werden is er aangelogd van op oudere systemen. Aangezien deze case dateert van voor Windows Vista worden de logon events hiervan niet in de lijst geplaatst.
677 A TGS ticket was not granted. 676 Authentication ticket request failed. 681 Logon failure. A domain account logon was attempted.
In een volgende stap wordt de case zelf nagebootst. Van op afstand wordt ingelogd op de eerste server dit kan gebeuren met Remote Desktop, dit is te zien op figuur 6. Om dit te kunnen doen moeten we eerst zorgen dat de computer inkomende verbindingen accepteert, we kunnen dit instellen via de eigenschappen van My Computer en dan te navigeren naar het tabblad Remote, dit is te zien op figuur 7.
Figuur 6 – Remote Desktop login
Figuur 7 – Remote Desktop activatie
Na het inloggen op de eerste server kunnen we de beveiligingslogs bekijken, met behulp van de filterwaardes die eerder ter sprake kwamen kunnen we de gewenste log gebeurtenissen sneller bereiken. In de Windows Event Viewer kunnen we de beveiligingslogs bekijken, we kunnen dit dan ook zien op figuur 8. 20
Figuur 8 – Event Viewer (Security log)
Op figuur 8 kunnen we enkel zien dat de administrator om 13:14:18 ingelogd heeft op de server, we kunnen echter niet zien of hij lokaal ingelogd heeft of van op afstand. Om dit te kunnen bekijken moeten we de inhoud van deze gebeurtenissen bekijken. In de gebeurtenissen met nummer 552 kunnen we terugvinden met welk IP-adres er ingelogd geweest is op de computer. Figuur 9 toont deze gebeurtenis.
Figuur 9 – Event analyse eerste server
Om de volledige inhoud van deze gebeurtenis te lezen werd er een kopie genomen van de tekstuele inhoud, welke hieronder terug te vinden is in tabel 2.
21
Tabel 2 – Inhoud van inloggebeurtenis
Logon attempt using explicit credentials: Logged on user: User Name: PIH-ID1$ Domain: WORKGROUP Logon ID: (0x0,0x3E7) Logon GUID: User whose credentials were used: Target User Name: Administrator Target Domain: PIH-ID1 Target Logon GUID: Target Server Name: localhost Target Server Info: localhost Caller Process ID: 1760 Source Network Address: 172.23.25.25 Source Port: 1049
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. We zien hier dat er met IP-adres 173.23.25.25 is ingelogd op pih-id1 met het administrator profiel. Van op de eerste server kunnen we verder gaan naar de tweede server, dit kan niet rechtstreeks gebeuren via het Internet aangezien de eerste server een IP vertaling doet om de tweede server met het Internet te verbinden. We doen dit op identieke manier door ook terug gebruik te maken van Remote Desktop vanuit de eerste server en zo in te loggen op de tweede server. Dit is dan terug te vinden in de beveiligingslogs van de tweede server en te zien op figuur 10.
Figuur 10 – Event viewer van de tweede server
22
We zien hier dat iemand met de Administrator account heeft ingelogd om 13:48:42 via het IPadres 169.254.120.237, als we dit vergelijken met het IP-adres die de tweede netwerkkaart van de eerste server heeft kunnen we constateren dat deze IP-adressen gelijk zijn, dit is te zien op figuur 11.
Figuur 11 – Ipconfig eerste server
Deze stappen tonen al aan dat de CoS kan herleidt worden naar het IP-adres 173.23.25.25, enkel de ISP-logs kunnen nu aantonen van op welke computer ingelogd werd, deze ISP logs kunnen opgevraagd worden en men kan aantonen wie er ingelogd heeft op dat moment. In de case staat niets vermeld van een logging van datgene wat veranderd werd om de crash te veroorzaken, wel staat er in dat de administrator een opdracht tot heropstarten uitvoerde, dit kan men ook terugvinden in de System logs, een voorbeeld hiervan wordt weergegeven in figuur 12.
Figuur 12 – Voorbeeld heropstarten server
23
5.5 Richtlijnen voor het verzamelen van digitaal bewijs rond deze case Als laatste stap in deze case studie kunnen er een aantal richtlijnen opgesteld worden voor het verzamelen van het digitale bewijs. Deze richtlijnen zijn specifiek voor deze case en kunnen verder uitgebreid worden na het onderzoeken van andere digitale misdaden.
Wanneer er sprake is van een misdaad moeten alle logs zo snel mogelijk na de misdaad vergrendeld worden en in een DEB opgeslagen worden. Er moet een zekerheid kunnen gegeven worden dat het bewijs niet gecontamineerd is. Om de CoS te kunnen opstellen moet de tijdslijn gevolgd worden, en daardoor is het van cruciaal belang dat alle computers binnen het gesaboteerde netwerk een gesynchroniseerde tijd hebben. Dit moet dus ook kunnen bewezen worden. De CoS moet volledig gevolgd kunnen worden van het begin tot het einde, daarom is het belangrijk dat alle mogelijke logs meegegeven worden ter analyse. Beter te veel informatie dan te weinig. De methode die gebruikt werd voor het analyseren van het bewijs moet terug te vinden zijn en moet voldoen aan de Daubert-criteria. Dit betekent ook dat elke ondernomen actie moet genoteerd worden om deze methode te kunnen reproduceren voor bijvoorbeeld een tegenexpertise.
24
6 Analyse van gegevens 6.1 Analyse van vluchtige gegevens Bij het plegen van een digitale misdaad zijn er zowel vaste gegevens als vluchtige gegevens. De vluchtige gegevens zoals de RAM-geheugens en de registers van een computerchip verdwijnen in het niets wanneer de stroomtoevoer naar de computer onderbroken wordt. De inhoud van deze geheugens kan cruciale informatie bevatten rond de misdaad die gepleegd is en zijn zeer snel te wissen. Deze gegevens kunnen de doorslag geven in een rechtbank om de beklaagde te veroordelen of vrij te spreken. Het is daarom heel belangrijk dat deze gegevens kunnen worden opgeslagen en kunnen worden geanalyseerd. Voor dit onderzoek maken we gebruik van een Windows computer, dit representeert dan ook de grootste groep van computers. Dit onderzoek wordt echter wel beperkt gehouden tot de analyse van het RAM-geheugen. Het RAM-geheugen kan de volgende dingen bevatten: Data bestanden Wachtwoorden Recente commando’s Overgebleven data die nog niet uitgewist is Lopende processen IP-adressen Kwaadaardige software … 6.2 Vastleggen van vluchtige gegevens Om de data in het RAM geheugen te onderzoeken voor forensische doeleinden moeten we deze eerst fixeren waardoor we contaminatie voorkomen. Dit kan door middel van een aantal tools die op de markt beschikbaar zijn. Het principe gaat als volgt: het volledige geheugen wordt gekopieerd als ware het een foto en op een ander geheugenmedium geplaatst. In een eerste stap moeten we dus een kopie maken van het geheugen, dit kan bijvoorbeeld door gebruik te maken van een tool genaamd Mantech’s MDD. Hiermee wordt een binaire kopie van het RAM-geheugen weggeschreven naar de gekozen plaats. Deze software is gratis te downloaden van http://www.mantech.com/msma/MDD.asp. In tabel 3 wordt beschreven hoe deze software gebruikt kan worden. Figuur 13 geeft een voorbeeld van de output van de MDD-software. Tabel 3 – Mantech’s MDD gebruiksaanwijzingen
mdd ManTech Physical Memory Dump Utility Usage: mdd <-o OUTPUTFILE> [-qcw] -o OUTPUTFILE output file for dump -q quiet; no output except on error -v verbose; output offsets of failed mappings -c redistribution conditions for GPL -w warranty information for GPL
25
Figuur 13 – MDD software output
Nu het RAM-geheugen vastgelegd is op de harde schijf moeten we dit nog in een DEB stoppen, dit kan elk WORM geheugen zijn zoals een CD of DVD, hierdoor kan er geen contaminatie meer gebeuren van de inhoud. Tenzij er contaminatie gebeurt alvorens dit op een WORM geheugen te plaatsen. 6.3 Inhoudsanalyse van vluchtige gegevens De zopas vastgelegde binaire geheugenstroom kan nu bekeken worden met een tekstverwerker en er kan op zoek gegaan worden naar herkenbare delen of passages, zoals eventueel code of bestandspaden. Een aantal voorbeelden zijn te vinden in de volgende figuren (figuren 14,15 en 16).
26
Figuur 14 – HTML code in het RAM-geheugen
Figuur 15 – Herkenbare tekst in het RAM-geheugen (1)
27
Figuur 16 – Herkenbare tekst in het RAM-geheugen (2)
In deze 3 voorbeelden kunnen we naast de machinecode ook een aantal andere dingen bekijken, zoals HTML code (Figuur 14), wat leesbare boodschappen in de figuur 15 en wat register sleutels in figuur 16, er zijn ook nog andere leesbare stukken in te vinden die hier niet bij deze voorbeelden vermeld zijn. Naast het gebruik van een tekstverwerker om de inhoud te lezen kunnen we gebruik maken van een hulpmiddel. Dit hulpmiddel heet ‘Volatility’ Het voordeel hiervan is dat de onleesbare inhoud van het geheugen toch leesbaar kan gemaakt worden. Net zoals Mantech’s MDD is ook deze software gratis en is kan ze worden gedownload via https://www.volatilesystems.com/default/volatility. Naast het analyseren van RAMgeheugens kan deze tool ook gebruikt worden om andere binaire image files te lezen, zoals onder andere slaapstand bestanden, dit zijn bestanden die worden opgeslagen wanneer een computer in slaapstand wordt geplaatst. Wanneer we het programma uitvoeren krijgen we een lijst met mogelijke opties terug, dit is te zien in figuur 17. De eerste regel is de invoer om het programma te starten, de rest is de output die het programma geeft. De –f parameter vraagt het pad van het oorspronkelijke bestand.
28
Figuur 17 – Volatility opties
Als eerste kunnen we het geheugenbestand identificeren, dit kan door de volgende coderegel in te voeren, de output hiervan is terug te vinden in figuur 18: \python\python.exe volatility ident –f /eindwerk/Ramtest.img
Figuur 18 – Identificatie van het geheugen
Met het volgende commando kunnen we alle bestanden bekijken in het geheugen, deze lijst is te lang voor dit document en wordt dusdanig hierin niet opgenomen.
29
\python\python.exe volatility files –f /eindwerk/Ramtest.img –t pae We kunnen ook de processen die actief waren tijdens het nemen van de foto van het geheugen terugvinden, dit gebeurt met het volgende commando: \python\python.exe volatility pslist –f /eindwerk/Ramtest.img –t pae Een aantal lopende processen van het onderzochte geheugen zijn te vinden in figuur 19.
Figuur 19 – Lopende processen
Elk proces gebruikt een aantal register sleutels, dit kunnen we ook terugvinden door het volgende commando, hierbij moet wel het procesID meegegeven worden. Als voorbeeld gebruiken we hier het proces met ID = 4, dus het SYSTEM proces, de output is te vinden in figuur 20. \python\python.exe volatility regobjkeys –f /eindwerk/Ramtest.img –t pae –p 4
Figuur 20 – Register waardes voor het SYSTEM proces
De andere commando’s worden verder uitgelegd zonder voorbeelden. Wanneer een onderzoeker op zoek is naar bijvoorbeeld een tekstuele waarde, dan kan hij door gebruik te maken van het commando ‘strings’ deze waarde terugvinden in het geheugen. Dit kan handig zijn indien men op zoek is naar wachtwoorden of naar specifieke waardes die nuttig zijn voor het onderzoek. We kunnen ook de VAD tree van het geheugen terugvinden (VAD = Virtual 30
Address Descriptor), dit geeft aan waar alles staat in het geheugen. We kunnen dan ook de files uit het geheugen halen met het commando ‘vaddump’, dit distilleert alle bestanden die in het geheugen zitten. Met deze bestanden kan dan natuurlijk verder onderzoek gebeuren. Naast alle gewone bestanden in het geheugen kunnen we ook alle processen die actief waren hieruit distilleren en hun bijhorende bibliotheken (*.dll bestanden). Dit kan gebeuren met het commando ‘procdump’. Deze processen kunnen dan onderzocht worden op het al dan niet kwaadaardig zijn. 6.4 Rechtsgeldigheid van de gebruikte middelen Aangezien deze masterproef beschrijft hoe we digitaal bewijs moeten verzamelen is het onontbeerlijk dat we de gebruikte methodes testen op hun rechtsgeldigheid. Hiervoor gebruiken we terug de Daubert-criteria. We passen deze criteria toe op de gebruikte tools: MDD
Is de gebruikte methode reproduceerbaar? Aangezien dit een tool is die gebruikt wordt om vluchtige data op te slaan en de vluchtige data snel kan veranderen van zodra iets gebeurt kunnen de resultaten van het meermaals na elkaar toepassen verschillend zijn. De methode is dus reproduceerbaar, maar het resultaat is daarom niet altijd gelijk. Is de gebruikte methode onderworpen aan peer reviews en algemeen aanvaard? De methode die gebruikt wordt is het simpelweg kopiëren van een bitstroom, dit is niets anders dan bijvoorbeeld het branden van een CD, dus deze methode is algemeen aanvaard. Is de foutenmarge van de methode bekend? Een bitfout kan altijd voorkomen, maar deze fout is heel klein, wat wel een grote fout kan zijn is dat het geheugen veranderd wordt terwijl het opgeslagen wordt, hierbij kunnen leesfouten en schrijffouten voorkomen. Deze kans is reëel. Is de techniek aanvaard in de wetenschappelijke wereld? Deze techniek kan worden teruggevonden in presentatie Eroraha (2008) die gevonden werd op het Internet.
Volatility
Is de gebruikte methode reproduceerbaar? Wanneer men hetzelfde commando meermaals invoert zal men telkens hetzelfde resultaat bekomen, dus de methode is reproduceerbaar. Is de gebruikte methode onderworpen aan peer reviews en algemeen aanvaard? De gebruikte methode maakt gebruik van het identificeren van bestanden in een image file, deze methode wordt ook gebruikt door een aantal commerciële programma’s zoals PowerISO die een foto van een CD ontleedt en de individuele bestanden erin vindt. Is de foutenmarge van de methode bekend? Net zoals alle andere digitale data is een kans op een bitfout altijd aanwezig, daarnaast kan enkel een leesfout van het geheugen een fout geven. Is de techniek aanvaard in de wetenschappelijke wereld? Deze techniek kan worden teruggevonden in presentatie van Eroraha (2008) die gevonden werd op het Internet.
31
6.5 Richtlijnen voor het verzamelen van vluchtige data als bewijsmateriaal Naast het onderzoeken van het RAM-geheugen kunnen we een aantal richtlijnen opstellen voor het verzamelen van bewijsmateriaal hieruit. Aangezien het verzamelen van het RAMgeheugen zelf op de plaatsdelict gebeurt moet men soms zeer snel en nauwkeurig te werk gaan, hiervoor zijn de volgende stappen onontbeerlijk: Alle gebeurde acties moeten genoteerd en gelogd worden om de CoS te kunnen opstellen en eventuele fouten te kunnen vinden. Tijd en timestamps zijn zeer belangrijk. De huidige tijd en de tijd van het nemen van de foto van het geheugen op de computer moeten genoteerd worden. Het identificeren van het operating system is nodig om eventuele opslagparameters te gebruiken. Sla de huidige status van de computer op, dit kan gebeuren door een foto van het scherm te nemen. Naast het RAM-geheugen kunnen ook de andere vluchtige gegevens opgeslagen worden, zoals de registers van de hardware. Alle vluchtige gegevens van een computer moeten op een verwijderbaar medium worden opgeslagen. Wanneer deze gegevens worden opgeslagen op de harde schijf van de te onderzoeken computer kunnen deze immers gegevens uitwissen die eerder gewist zijn uit de bestandslijst. Gegevens die gewist zijn uit de bestandslijst staan nog altijd op de harde schijf, de verwijzing ernaar is enkel gewist.
32
7 Algemene richtlijnen voor het verzamelen van digitaal bewijs Het grote opzet van dit werk is om een aantal algemene richtlijnen op te stellen voor het verzamelen en bewaren van digitaal bewijs. Er zijn al een aantal specifieke richtlijnen opgesteld voor het verzamelen van digitaal bewijsmateriaal rond specifieke gevallen. Deze richtlijnen worden nu naar een hoger niveau getild en veralgemeend zodat wanneer een digitale misdaad zich voordoet men het bewijs hieruit kan vinden. Zeer belangrijk is de tijd en dus timestamps, het is dan ook zeer belangrijk dat de tijd van het verzamelen van het bewijs genoteerd wordt en vergeleken wordt met de virtuele tijd op de computer. Dit is nodig om de tijdslijn op te stellen van de misdaad en dus ook de CoS. Het documenteren van alle genomen stappen voor het verzamelen van al het mogelijke bewijsmateriaal is cruciaal om de gebruikte methodieken te herhalen of in zijn integriteit te controleren. Deze stappen zijn dan ook nodig om de CoS op te stellen, en waar er gaten zijn kan eventueel de methode voor het verzamelen van bewijsmateriaal onderzocht worden. Elke gebruikte methode moet reproduceerbaar zijn, dit wil zeggen dat de data die behandeld wordt niet mag gewijzigd worden tijdens het behandelen ervan. Daarvoor is de DEB nodig, dit garandeert dat de data niet gewijzigd kan worden. De methodes moeten voldoen aan de Daubert-criteria waardoor ze stand zullen houden in een rechtbank. Elke gebruikte methode moet een wetenschappelijke achtergrond hebben en moet getest zijn door verschillende openbare instellingen.
33
8 Besluit Het oorspronkelijke doel van deze masterproef was het onderzoeken van de digitale misdaad. deze in kaart te brengen en methodes in kaart brengen om digitaal bewijs te verzamelen. Om dit te kunnen doen werd een literatuurstudie gedaan, door deze studie werd dan ook inzicht verworven in de materie en kon de huidige stand van zaken afgeleid worden. In de literatuurstudie zijn een aantal zeer belangrijke begrippen naar voren gekomen die nodig zijn bij de bewijsvoering in een rechtbank. Deze begrippen zoals de CoS, of de DEB moeten gerespecteerd worden om aanvaardbaar bewijs te leveren in een rechtbank. Ook de methode voor het verzamelen van bewijs moet volgens bepaalde regels gebeuren, en afgetoetst worden aan de Daubert criteria. Naast de literatuurstudie werd ook een case studie uitgewerkt, deze werd zowel theoretisch als praktisch bestudeerd. Uit deze case studie konden al een paar richtlijnen verzameld worden voor het verzamelen van digitaal bewijs. Deze richtlijnen waren natuurlijk nog niet voldoende aangezien deze specifiek bedoeld waren voor deze case. Deze case heeft op zich ook enkele belangrijke aspecten naar voren geschoven. Het is namelijk zeer belangrijk om alles zorgvuldig te documenteren zodat alles opnieuw kan worden gedaan. Deze reden geeft ook aan dat het oorspronkelijke bronmateriaal niet mag worden aangetast tijdens het verzamelen van bewijs. Als laatste onderdeel werd dan nog een praktische uitwerking gedaan van het verzamelen van bewijsmateriaal uit vluchtige gegevens. Er werd hiervoor gekozen omwille van twee redenen: 1) In de beperkte tijd kon onmogelijk alles worden bestudeerd. 2) Vluchtige gegevens zijn soms cruciaal en zijn zeer delicaat om te verzamelen. Als laatste werden dan nog enkele algemene richtlijnen opgesteld voor het verzamelen van digitaal bewijs. Dit was dan ook de oorspronkelijke bedoeling van deze masterproef. Deze richtlijnen geven aan dat zowel de methode van verzamelen als de verzamelde data belangrijk zijn.
34
Literatuurlijst DEVOS, J 2007, ICT-Beveiliging, Cursoa, Kortrijk. ERORAHA, I 2008, Responding to the Digital Crime Scene: Gathering Volatile Data, gelezen op 22 februari 2009
. FORD, G T 2005 ‘The Impact of the Daubert Decision on Survey Research Used in Litigation’, American Marketing Association, Vol. 24 ,nr 2, pg 234–252. GOLDEN G R III & VASSIL, R 2006 ‘Next generation digital forensics’, Communications of the ACM, Vol 49, nr 2, pg 76-80. KAY, R 2006 ‘Computer forensics’, Computerworld, Vol 49. HOSMER, C 2006 ‘Digital evidence bag’, Communications of the ACM, Vol 49, nr 2, pg 6970. KERR O S 2004 ‘Digital evidence and the new criminal procedure’, Columbia Law Review, Vol 105, pg 279-318. SEWARD, J 2004 ‘Good to the last byte’ Commercial Law Bulletin, Vol maart/april 2004, pg 8-15. TAEYMANS, M & DUMORTIER, J 2001 Informaticarecht, Uitgeverij De Boek, Brussel. Adelstein, F et al 2006 ‘Standardizing digital evidence storage’, Communications of the ACM, Vol 49, nr 2, pg 67-68. VAN DE VOORDE, W,GOETHALS, J & NIEUWDORP, M 2003 Multidisciplinair forensisch onderzoek, juridische en wetenschappelijke aspecten. (Deel I en II), Uitgeverij Politeia, Brussel.
35