Tijdens een themaweek over IT forensics mag een interview met een forensisch expert natuurlijk niet ontbreken. Wij interviewden Ir Johan ten Houten, een van de grondleggers van IT Forensics (sinds 1990) in Nederland. Gisteren publiceerden we al een artikel van hem "ICT forensics, fraude en informatiebeveiliging", waarin de rol van ICT in forensische onderzoeken werd behandeld. Dit interview gaat in op de praktijk van de forensisch onderzoeker en waar hij/zij mee te maken krijgt. Vanwege de lengte vandaag deel 1.

Wat is het eerste wat je doet als je een machine van een verdachte in handen krijgt of op de plaats van een delict komt?

Ten Houten: Indien de machines nog in gebruik zijn is het essentieel om zo snel mogelijk alle handelingen op de computers stop te zetten en de situatie te bevriezen. Dit houdt in het stopzetten van alle mogelijke communicatie (muis, toetsenbord en netwerk) en het afsluiten van de computer.
In de meeste gevallen is de gewone shutdown procedure voldoende. Als het een incident betreft (denk aan virus of computer hacking) is het soms verstandig de stroom abrupt af te sluiten.
Belangrijk is in alle gevallen heel nauwkeurig vast te leggen wat er gedaan is. (foto’s of aantekeningen, situatie schets)
Per machine wordt vervolgens een onderzoeksformulier aangemaakt waarop de kenmerken van het systeem worden vastgelegd.
Daarna wordt de systeemkast geopend en een image (exacte digitale kopie van harde schijf wordt gemaakt) en opgeslagen op een externe USB disk. De hash waarde van de image (het bestand dat de exacte digitale kopie van de harde schijf is), wordt op het onderzoeksformulier opgeschreven.

Forensisch onderzoek wordt zeker sinds series als CSI omgeven door een zweem van mysterie. Gaat het er inderdaad zo aan toe als in de TV series?

Ten Houten: Ten dele is er overeenkomst tussen een CSI serie en een forensisch onderzoek. Voor een buitenstaander zijn de onderzoeken inderdaad omgeven door een zweem van mysterie. Echter “forensisch” betekent ten behoeve van het recht en de resultaten kunnen daarom in een rechtszaak gebruikt worden. Het onderzoek is daarom veel meer gericht op het bewaren van de chain of evidence – de keten van bewijsvoering - en de herleidbaarheid van de resultaten. Een forensisch onderzoek is gericht op het vastleggen van feiten en niet gericht op hypotheses en die proberen te toetsen aan bewijsmateriaal.

Hoe maak je van een live machine een forensische fingerprint?

Ten Houten: Het is niet altijd mogelijk een machine uit te zetten om een exacte digitale kopie van de harde schijf te maken. Immers daarvoor moet de harde schijf uitgebouwd worden en op speciale apparatuur aangesloten worden. Om een image van een live machine te maken wordt een kopie gemaakt door de vanaf de command line een forensische tool (op CD of USB disk) aan te roepen. Hiermee kunnen we een image van een fysieke of logische schijf maken en over het netwerk naar een andere computer sturen of naar direct naar een USB disk wegschrijven.

Wat zijn verplichte certificeringen en opleidingen mensen die forensisch expert willen worden?

Ten Houten: Voor een forensisch onderzoeker is natuurlijk een gedegen kennis van IT en dan in het bijzonder computer architectuur en besturingssystemen, belangrijk. Deze kennis is nodig voor het analyseren van data en het zoeken naar bewijs.
Verplichte certificeringen zijn er eigenlijk niet. Er zijn wel een hoop certificeringen mogelijk. Er zijn verschillende commerciële tools (FTK, ENCASE) die een eigen opleiding en certificering kennen, maar ook commerciële organisaties geven hele goede cursussen digitaal rechercheren. Er is zelfs een MBO opleiding tot digitale rechercheur. Bij Deloitte hebben we een intern opleidingstraject dat elk jaar wordt gegeven, aangevuld met diverse avondcursussen.

Over welke kwaliteit beschikt een goede forensische expert

Ten Houten: Een goede forensisch onderzoeker is in de eerste plaats nauwgezet. Een goede tweede eigenschap is dat hij of zij erg nieuwsgierig en onderzoekend is. Altijd op zoek zijn naar nieuwe aanwijzingen of juist het ontbreken daarvan. En telkens weer zich afvragen of je bevindingen gebaseerd zijn op feiten. Daarnaast is het belangrijk dat je goed kan vastleggen wat je doet en helder kan rapporteren en goed in teamverband kan werken.

Werk je als forensisch expert alleen of is het meer een team aangelegenheid?

Ten Houten: Al ons werk is een combinatie van verschillende disciplines. Ten eerste beschikt niet iedereen over dezelfde expertise op technisch vlak. Als we een onderzoek doen naar fraude dan beschikt ook niet iedere forensisch ICT onderzoeker over alle noodzakelijke kennis op het financiële vlak. Het onderzoek, de vraagstelling en de omgeving bepaalt daardoor de samenstelling van het team.
Daarnaast worden de bevindingen vanwege het zwaarwegende karakter van de onderzoeken (lees de mogelijke gevolgen voor een betrokkene) altijd door een tweede onderzoeker geverifieerd.

Op welke manieren heb je als onderzoeker te maken met de nadelen van encryptie, en hoe kraak je versleutelde bestanden?

Ten Houten: Met encryptie hebben we soms te maken, zeker als de dader bewust is van de gevolgen van zijn of haar daden. Zij willen voorkomen dat bepaalde gegevens zichtbaar zijn voor anderen. We kunnen in zo’n geval vaak inschatten of het betreffende document waardevol is voor het onderzoek op basis van andere gegevens (bijvoorbeeld referenties naar het document of de inhoud van een E-mail bericht). Voor de meeste toepassingen zijn oplossingen beschikbaar om de inhoud van het document of het wachtwoord te achterhalen.

Encryptie heeft voor ons een voordeel en een nadeel. Onze forensische software identificeert automatisch beveiligde documenten zodat we heel snel mogelijke verdachte documenten kunnen vinden. Of wij een document kunnen terughalen binnen een bepaalde tijd is afhankelijk van de expertise van gebruiker en de onderliggende methodes. Uiteindelijk is (bijna) alles met voldoende tijd te kraken. Het is belangrijk in te schatten wat de inhoud van een document zou kunnen opleveren voordat we aan het kraken beginnen. Vaak kan dezelfde informatie ook op andere wijze worden achterhaald.

Vind je dat, net als straks in Engeland, Nederlandse verdachten verplicht moeten worden om hun encryptie sleutel af te staan?

Ten Houten: Dit is meer politiek dan forensisch onderzoek. Encryptie is een zwaard dat aan twee kanten snijdt. Ik ben tegen het beperken van de techniek of het elders opslaan van delen van de encryptie sleutel, immers dat verzwakt de beveiliging.
Een mogelijk alternatief is de betrokkene te verplichten in voorkomend geval de gegevens (wachtwoord of sleutel) beschikbaar te stellen. Zo behouden we goede beveiliging van onze gegevens en staat encryptie de opsporing niet in de weg.
Ik weet dat deze discussie in Nederland ook heeft plaatsgevonden, vraag die daarbij aan te pas komt is welke strafmaat hoort daarbij als iemand alsnog weigert mee te werken. Kun je je werkelijke straf ontlopen door te weigeren je sleutel af te geven, en is ons rechtsysteem dan zo ingericht dat iemand dan veroordeelt kan worden voor iets wat niet bewezen is of een straf krijgt die daarmee in evenwicht is. Deze oplossing zal in Nederland nog lang op zich laten wachten.

In navolging van bovenstaande twee vragen, In Windows Vista zal BitLocker standaard bestanden versleutelen, op deze manier is encryptie voor de eerste keer op een eenvoudige manier toegankelijk voor de massa. Zien forensisch experts de toekomst met lede ogen tegemoet?

Ten Houten: Nee, niet echt. Ten eerste omdat er veel meer informatie beschikbaar is voor een onderzoek dan alleen bestanden op een computer. Ten tweede zien we een trend waarbij bedrijven computers uitrusten met speciale software om in ieder geval aangetoond kan worden dat ze voldoen aan vele wet en regelgevingen. Vooral organisaties die te maken (kunnen) hebben met de Amerikaanse overheid gaan over tot het gebruik van deze software. Hiermee is het mogelijk om in bepaalde gevallen de beveiliging te doorbreken.
Ook de communicatie tussen twee partijen (min of meer alle informatie wordt met meerdere parijen gedeeld) biedt ons de mogelijkheid documenten op verschillende locaties te achterhalen.

Morgen deel 2 van het interview met ten Houten