ICT forensics, fraude en informatiebeveiliging
24-10-2006,11:25 door
ICT forensics
Forensisch betekent volgens Van Dale: “betrekking hebbend op justitie”. Het onderzoek dient derhalve een zodanige wijze te worden uitgevoerd dat het als bewijsmateriaal in een rechtszaal gebruikt kan worden.
ICT forensics richt zich op het vinden, analyseren, veredelen en rapporteren van sporen van een bepaalde gebeurtenis in een ICT-omgeving. Belangrijkste kenmerk -en tegelijkertijd uitdaging van een ICT forensisch onderzoek is dat het onderzoek zelf met ICT-middelen wordt uitgevoerd en dat het onderzoeksobject ook ICT-middelen betreft. Deze twee dienen strikt gescheiden te blijven, het onderzoek zelf mag de te onderzoeken omgeving op geen enkele wijze beïnvloeden. Een ICT forensisch onderzoek dient zelfs zo opgezet te worden dat dit onomstotelijk vast komt te staan.
Een forensisch onderzoek bestaat uit de stappen: bevriezen en vastleggen, ordenen en classificeren, analyseren en presenteren of rapporteren.
Bevriezen en vastleggen
Een forensisch onderzoek in een ICT-omgeving levert een schat aan informatie. Te veel zelfs: met de huidige stand van de techniek, zijn PC’s met meer dan 100 gigabyte aan data geen uitzondering. Wanneer een fraude-onderzoek meerdere (mogelijke) daders betreft en enkele servers ook in het onderzoek meegenomen moeten worden, loopt de hoeveelheid te doorzoeken informatie snel in de terabytes.
De eerste stap is het bevriezen en vastleggen van de brongegevens. Zoveel mogelijk wordt een exacte kopie van een disk gemaakt en deze letterlijke kopie, ook wel image genoemd, wordt met behulp van een hash-functie bevroren.
Een hash-functie berekent een hash-waarde over de inhoud van een bestand. De hash-waarde is de uitkomst van een wiskundige berekening en de uitkomst heeft altijd dezelfde lengte. Een hash-waarde is een representatie van de inhoud, het wijzigen van één enkele bit in een bestand levert een volledig andere hash-waarde op. Door het vergelijken van de uitkomst van twee hashberekeningen kan in de praktijk met zekerheid worden gesteld dat de twee bestanden identiek zijn.
Ordenen en Classificeren
De enorme hoeveelheden aan informatie dienen snel en accuraat te worden geordend. De informatie moet snel geclassificeerd en beschikbaar gemaakt worden voor de fraudeonderzoekers. Hierbij wordt gebruik gemaakt van speciale classificeringsoftware.
De informatie wordt ten behoeve van forensisch onderzoek ingedeeld in drie typen informatie:
Figuur 4: Verschillende typen informatie in een ICT systeem
De exacte kopie wordt ontleed en automatische geanalyseerd. Van elk bestand worden alle metagegevens in een database opgeslagen. Verwijderde bestanden worden automatisch zichtbaar gemaakt en alle bestanden worden voor onderzoek in een van de volgende drie soorten bestanden ingedeeld:
Herkenbare bestanden: dit zijn documenten, e-mail berichten, presentaties, bijvoorbeeld films of plaatjes. Deze bestanden bevatten over het algemeen de informatie die nodig is om een fraude te onderkennen en te analyseren.
Bekende bestanden die geen informatie bevatten: veel bestanden in een computer zijn programmabestanden of hulpbestanden voor de werking van het systeem zelf. Deze bestanden bevatten geen informatie zelf en kunnen eenvoudig worden overgeslagen.
Overige gegevens: niet alle bestanden worden automatisch herkend of zijn direct leesbaar. In deze laatste categorie van bestanden zitten de overige bestanden: voorbeelden zijn verwijderde en gedeeltelijk overschreven bestanden, delen van bestanden, vercijferde bestanden of bestanden aangemaakt met een programma dat niet wordt herkend.
Analyseren
Het eigenlijke onderzoek en de analyse van gegevens vindt daarna altijd plaats aan de hand van een kopie van de gegevens. Zo wordt altijd gewaarborgd dat het onderzoek zelf de bron gegevens niet aan kan tasten.
Aan de hand van de casus (het fraude-geval) wordt samen met een forensisch accountant gezocht naar sporen van de fraude: zijn er aanwijzingen voor de handeling, de verhulling, de voorbereiding of het proberen? Veelal zal dit plaatsvinden aan de hand van bijvoorbeeld het zoeken naar een bepaald bedrag of een bankrekeningnummer, waarna een datum/tijd kan worden bepaald van dat moment. Wat is er nog meer gebeurd op datzelfde tijdstip, met wie (of wat) is er gecommuniceerd? Levert dat weer meer inzicht in de casus? Het onderzoek is daarmee een wisselwerking tussen de casus (de fraude) en de ICT-sporen. Deloitte heeft voor het analyseren een forensisch systeem ontwikkeld waarin alle informatie verzameld en gecorreleerd kan worden. Dit systeem wordt door alle leden van het onderzoeksteam gebruikt. Het systeem kan gebeurtenissen in een tijdslijn neerzetten, de onderlinge verbanden tussen personen en computers inzichtelijk maken en verbanden leggen op basis van vormeigenschappen van informatie.
De rol van ICT in fraude-onderzoeken
Een belangrijke stap voor het forensisch onderzoeksteam is het in kaart brengen van de casus. De casus is het hoe en het wat van de onrechtmatigheden. Wat is er gebeurd in het systeem en hoe heeft dat plaatsgevonden? Onder systeem wordt hier weer verstaan het geheel aan componenten computersystemen, procedures en controles -die nodig zijn om de fraude te plegen. In de meeste gevallen speelt ICT daarin een belangrijke rol.
Aan de hand van het overzicht wordt bepaald wat er nodig is voor nader onderzoek. In deze stap is hulp en expertise van de systeembeheerder vaak onmisbaar. Hij of zij weet welke computersystemen een rol spelen binnen het geheel. Een onderzoeker kan dit pas na vele dagen of weken zelf pas uitwerken.
Bij het analyseren van de fraude speelt ICT weer een belangrijke rol, namelijk als onderzoeksomgeving. Het filteren, analyseren en indexeren van bestanden wordt ook met behulp van ICT uitgevoerd. Deze ICT-omgeving speelt zich af in de back-office van de onderzoekers en is aan strenge procedures en kwaliteitseisen onderhevig. De onderzoeker moet immers verantwoording afleggen over elke stap en berekening in het onderzoeksproces.
De rol van informatiebeveiliging in fraude-onderzoeken
Informatiebeveiliging richt zich op het beschermen van informatie tegen externe invloeden. Daar wordt vooral gekeken naar informatie in relatie tot het gebruik van die informatie (procesanalyse), de mogelijke risico’s en kwetsbaarheden (risico-analyse). Omdat informatiebeveiliging zich primair richt op ICT, het beheersen van ICT en ICT-verwerking, valt fraude vaak buiten de scope van informatiebeveiliging.
Aan elk incident -niet alleen fraude -zijn er vooraf signalen die duiden op een ophanden zijnde gebeurtenis. Deze signalen liggen echter vaak onder een bepaalde drempelwaarde en zullen niet als zodanig herkend worden. Denk daarbij bijvoorbeeld aan voorbereidende werkzaamheden: kan ik onder een ander account inloggen, kan ik in de avonduren een bedrag overmaken?
Omdat deze signalen onder een bepaalde drempel liggen, zullen ze waarschijnlijk nooit onderzocht worden. Er werken immers vele mensen in hetzelfde bedrijf, iedereen werkt wel eens laat of in het weekend en het overmaken van kleine bedragen wordt niet of nauwelijks gecontroleerd. De audit trail en log-bestanden van deze transactie zijn wel degelijk belangrijk voor een eventueel onderzoek. Het aanmaken, opslaan en bewaren van log-bestanden is een belangrijke voorwaarde voor het onderzoeken van fraude.
Veel fraude is mogelijk doordat systemen uit meerdere componenten bestaan, denk bijvoorbeeld aan verschillende applicaties met meerdere databases of gedeelde bestanden. Heel vaak is het eenvoudig mogelijk om het bestand te manipuleren dat tussen twee applicaties wordt uitgewisseld. Door tijdens de ontwikkeling hier meer aandacht aan te besteden wordt het risico van manipulatie veel kleiner.
Conclusies
Een fraude-onderzoek richt zich op het onderzoeken van een misleidende handelswijze. Daarbij wordt heel vaak -direct of indirect -informatietechnologie gebruikt. Informatiebeveiliging richt zich op correcte, tijdige en vertrouwelijke informatie (verwerking).
Informatiebeveiliging richt zich op het waarborgen correcte, tijdige en vertrouwelijke informatie. Beide aspecten (fraude met misleiding) en informatiebeveiliging (waarborgen integriteit van informatie) ontmoeten elkaar in een fraude onderzoek.
In de praktijk blijkt dat informatiebeveiliging zich richt op het beschermen van informatie en dat fraudeonderzoekers zich gauw richten op de Administratieve Organisatie en het stelsel van Interne Controle (AO/IC). Een fraudeonderzoek dat naast de handelswijze ook de ICT onderzoekt beschikt over een schat aan informatie omtrent het gepleegde feit (zie figuur 5)
Figuur 5: De relatie tussen de forensische accountant, forensische ICT onderzoeker, de proces eigenaar en de technische infrastructuur
In een ideale situatie staan de proceseigenaren en de infrastructuurbeheerder voordat een fraude zich voorzoet met elkaar in overleg. Het beste kan dit bewerkstelligt worden door vooraf een keer met een fraude bril naar de ICT te kijken en met een ICT bril eens naar fraude te kijken.
Door de brug te slaan tussen bedrijfsvoering (handelswijze) en ICT (sporen), is het mogelijk een forensisch fraude-onderzoek snel en efficiënt uit te voeren. Door ook de brug te slaan tussen informatiebeveiliging en de proceseigenaren zal de waarde van informatiebeveiliging toenemen voor de organisatie maar ook het onderzoek naar fraude incidenten vergemakkelijken.
Aanbevolen leesvoer
‘Het drama AHOLD’ van Jeroen Smit, omdat het zo goed aangeeft hoe complex een grote organisatie is en op welke wijze dat fout kan gaan.
‘The Cuckoo’s Egg’ van Clifford Stoll, omdat dat boek mijn interesse in computers en computer security heeft gewekt.
‘Secrets and Lies’ van Bruce Schneier, gewoon omdat Bruce mijn held is en ik ook vroeger dacht dat als ik Applied Cryptogtraphy maar uit mijn hoofd kende alle security problemen opgelost konden worden.
Forensisch betekent volgens Van Dale: “betrekking hebbend op justitie”. Het onderzoek dient derhalve een zodanige wijze te worden uitgevoerd dat het als bewijsmateriaal in een rechtszaal gebruikt kan worden.
ICT forensics richt zich op het vinden, analyseren, veredelen en rapporteren van sporen van een bepaalde gebeurtenis in een ICT-omgeving. Belangrijkste kenmerk -en tegelijkertijd uitdaging van een ICT forensisch onderzoek is dat het onderzoek zelf met ICT-middelen wordt uitgevoerd en dat het onderzoeksobject ook ICT-middelen betreft. Deze twee dienen strikt gescheiden te blijven, het onderzoek zelf mag de te onderzoeken omgeving op geen enkele wijze beïnvloeden. Een ICT forensisch onderzoek dient zelfs zo opgezet te worden dat dit onomstotelijk vast komt te staan.
Een forensisch onderzoek bestaat uit de stappen: bevriezen en vastleggen, ordenen en classificeren, analyseren en presenteren of rapporteren.
Bevriezen en vastleggen
Een forensisch onderzoek in een ICT-omgeving levert een schat aan informatie. Te veel zelfs: met de huidige stand van de techniek, zijn PC’s met meer dan 100 gigabyte aan data geen uitzondering. Wanneer een fraude-onderzoek meerdere (mogelijke) daders betreft en enkele servers ook in het onderzoek meegenomen moeten worden, loopt de hoeveelheid te doorzoeken informatie snel in de terabytes.
De eerste stap is het bevriezen en vastleggen van de brongegevens. Zoveel mogelijk wordt een exacte kopie van een disk gemaakt en deze letterlijke kopie, ook wel image genoemd, wordt met behulp van een hash-functie bevroren.
Een hash-functie berekent een hash-waarde over de inhoud van een bestand. De hash-waarde is de uitkomst van een wiskundige berekening en de uitkomst heeft altijd dezelfde lengte. Een hash-waarde is een representatie van de inhoud, het wijzigen van één enkele bit in een bestand levert een volledig andere hash-waarde op. Door het vergelijken van de uitkomst van twee hashberekeningen kan in de praktijk met zekerheid worden gesteld dat de twee bestanden identiek zijn.
Ordenen en Classificeren
De enorme hoeveelheden aan informatie dienen snel en accuraat te worden geordend. De informatie moet snel geclassificeerd en beschikbaar gemaakt worden voor de fraudeonderzoekers. Hierbij wordt gebruik gemaakt van speciale classificeringsoftware.
De informatie wordt ten behoeve van forensisch onderzoek ingedeeld in drie typen informatie:
- Informatie van een bericht: dit betreft de inhoudelijke informatie van een bericht, bijvoorbeeld een telefoonnummer, een bankrekeningnummer of een naam van een persoon.
- Meta-gegevens: meta-gegevens worden door het operating systeem bijgehouden om het bestand te kunnen ordenen, opslaan of afdrukken. Meta-gegevens zijn bijvoorbeeld datum/tijdstip van laatste wijziging, user-ID van document auteur, locatie op de harde schijf, naam van een bestand, gebruikte programma om het te wijzigen. Meta-gegevens worden door zowel het verwerkende programma of apparatuur aangemaakt, als door het operating systeem zelf. Meta-gegevens worden gebruikt om bestanden te koppelen aan bijvoorbeeld bestanden die op hetzelfde moment zijn gewijzigd of door dezelfde persoon.
- Vormeigenschappen van een bericht: vormeigenschappen zeggen iets over de vorm van de inhoudelijke gegevens. Vormgegevens geven aanwijzingen over het menselijk gedrag. Voorbeelden van vormgegevens zijn spelfouten, woord-en taalgebruik, programmeerstijl of voorkeuren voor bepaalde cijfercombinaties. Vormeigenschappen van een bericht leggen verbanden tussen informatie of geven kenmerken aan informatie die niet in meta-gegevens zijn terug te vinden. Vormeigenschappen worden veelal gebruikt om gegevens in een grote database te herkennen en/of te groeperen.
De exacte kopie wordt ontleed en automatische geanalyseerd. Van elk bestand worden alle metagegevens in een database opgeslagen. Verwijderde bestanden worden automatisch zichtbaar gemaakt en alle bestanden worden voor onderzoek in een van de volgende drie soorten bestanden ingedeeld:
Herkenbare bestanden: dit zijn documenten, e-mail berichten, presentaties, bijvoorbeeld films of plaatjes. Deze bestanden bevatten over het algemeen de informatie die nodig is om een fraude te onderkennen en te analyseren.
Bekende bestanden die geen informatie bevatten: veel bestanden in een computer zijn programmabestanden of hulpbestanden voor de werking van het systeem zelf. Deze bestanden bevatten geen informatie zelf en kunnen eenvoudig worden overgeslagen.
Overige gegevens: niet alle bestanden worden automatisch herkend of zijn direct leesbaar. In deze laatste categorie van bestanden zitten de overige bestanden: voorbeelden zijn verwijderde en gedeeltelijk overschreven bestanden, delen van bestanden, vercijferde bestanden of bestanden aangemaakt met een programma dat niet wordt herkend.
Analyseren
Het eigenlijke onderzoek en de analyse van gegevens vindt daarna altijd plaats aan de hand van een kopie van de gegevens. Zo wordt altijd gewaarborgd dat het onderzoek zelf de bron gegevens niet aan kan tasten.
Aan de hand van de casus (het fraude-geval) wordt samen met een forensisch accountant gezocht naar sporen van de fraude: zijn er aanwijzingen voor de handeling, de verhulling, de voorbereiding of het proberen? Veelal zal dit plaatsvinden aan de hand van bijvoorbeeld het zoeken naar een bepaald bedrag of een bankrekeningnummer, waarna een datum/tijd kan worden bepaald van dat moment. Wat is er nog meer gebeurd op datzelfde tijdstip, met wie (of wat) is er gecommuniceerd? Levert dat weer meer inzicht in de casus? Het onderzoek is daarmee een wisselwerking tussen de casus (de fraude) en de ICT-sporen. Deloitte heeft voor het analyseren een forensisch systeem ontwikkeld waarin alle informatie verzameld en gecorreleerd kan worden. Dit systeem wordt door alle leden van het onderzoeksteam gebruikt. Het systeem kan gebeurtenissen in een tijdslijn neerzetten, de onderlinge verbanden tussen personen en computers inzichtelijk maken en verbanden leggen op basis van vormeigenschappen van informatie.
De rol van ICT in fraude-onderzoeken
Een belangrijke stap voor het forensisch onderzoeksteam is het in kaart brengen van de casus. De casus is het hoe en het wat van de onrechtmatigheden. Wat is er gebeurd in het systeem en hoe heeft dat plaatsgevonden? Onder systeem wordt hier weer verstaan het geheel aan componenten computersystemen, procedures en controles -die nodig zijn om de fraude te plegen. In de meeste gevallen speelt ICT daarin een belangrijke rol.
Aan de hand van het overzicht wordt bepaald wat er nodig is voor nader onderzoek. In deze stap is hulp en expertise van de systeembeheerder vaak onmisbaar. Hij of zij weet welke computersystemen een rol spelen binnen het geheel. Een onderzoeker kan dit pas na vele dagen of weken zelf pas uitwerken.
Bij het analyseren van de fraude speelt ICT weer een belangrijke rol, namelijk als onderzoeksomgeving. Het filteren, analyseren en indexeren van bestanden wordt ook met behulp van ICT uitgevoerd. Deze ICT-omgeving speelt zich af in de back-office van de onderzoekers en is aan strenge procedures en kwaliteitseisen onderhevig. De onderzoeker moet immers verantwoording afleggen over elke stap en berekening in het onderzoeksproces.
De rol van informatiebeveiliging in fraude-onderzoeken
Informatiebeveiliging richt zich op het beschermen van informatie tegen externe invloeden. Daar wordt vooral gekeken naar informatie in relatie tot het gebruik van die informatie (procesanalyse), de mogelijke risico’s en kwetsbaarheden (risico-analyse). Omdat informatiebeveiliging zich primair richt op ICT, het beheersen van ICT en ICT-verwerking, valt fraude vaak buiten de scope van informatiebeveiliging.
Aan elk incident -niet alleen fraude -zijn er vooraf signalen die duiden op een ophanden zijnde gebeurtenis. Deze signalen liggen echter vaak onder een bepaalde drempelwaarde en zullen niet als zodanig herkend worden. Denk daarbij bijvoorbeeld aan voorbereidende werkzaamheden: kan ik onder een ander account inloggen, kan ik in de avonduren een bedrag overmaken?
Omdat deze signalen onder een bepaalde drempel liggen, zullen ze waarschijnlijk nooit onderzocht worden. Er werken immers vele mensen in hetzelfde bedrijf, iedereen werkt wel eens laat of in het weekend en het overmaken van kleine bedragen wordt niet of nauwelijks gecontroleerd. De audit trail en log-bestanden van deze transactie zijn wel degelijk belangrijk voor een eventueel onderzoek. Het aanmaken, opslaan en bewaren van log-bestanden is een belangrijke voorwaarde voor het onderzoeken van fraude.
Veel fraude is mogelijk doordat systemen uit meerdere componenten bestaan, denk bijvoorbeeld aan verschillende applicaties met meerdere databases of gedeelde bestanden. Heel vaak is het eenvoudig mogelijk om het bestand te manipuleren dat tussen twee applicaties wordt uitgewisseld. Door tijdens de ontwikkeling hier meer aandacht aan te besteden wordt het risico van manipulatie veel kleiner.
Conclusies
Een fraude-onderzoek richt zich op het onderzoeken van een misleidende handelswijze. Daarbij wordt heel vaak -direct of indirect -informatietechnologie gebruikt. Informatiebeveiliging richt zich op correcte, tijdige en vertrouwelijke informatie (verwerking).
Informatiebeveiliging richt zich op het waarborgen correcte, tijdige en vertrouwelijke informatie. Beide aspecten (fraude met misleiding) en informatiebeveiliging (waarborgen integriteit van informatie) ontmoeten elkaar in een fraude onderzoek.
In de praktijk blijkt dat informatiebeveiliging zich richt op het beschermen van informatie en dat fraudeonderzoekers zich gauw richten op de Administratieve Organisatie en het stelsel van Interne Controle (AO/IC). Een fraudeonderzoek dat naast de handelswijze ook de ICT onderzoekt beschikt over een schat aan informatie omtrent het gepleegde feit (zie figuur 5)
In een ideale situatie staan de proceseigenaren en de infrastructuurbeheerder voordat een fraude zich voorzoet met elkaar in overleg. Het beste kan dit bewerkstelligt worden door vooraf een keer met een fraude bril naar de ICT te kijken en met een ICT bril eens naar fraude te kijken.
Door de brug te slaan tussen bedrijfsvoering (handelswijze) en ICT (sporen), is het mogelijk een forensisch fraude-onderzoek snel en efficiënt uit te voeren. Door ook de brug te slaan tussen informatiebeveiliging en de proceseigenaren zal de waarde van informatiebeveiliging toenemen voor de organisatie maar ook het onderzoek naar fraude incidenten vergemakkelijken.
Aanbevolen leesvoer
