Fox-IT is het eerste digitale forensisch onderzoeksbureau in de Benelux. Het bedrijf doet onderzoek naar bedrijfsspionage, fraude, hacking en misbruik van de bedrijfsvoorzieningen. Wij vroegen Matthijs van der Wel, Manager Forensics & Audits, naar de dagelijkse praktijk van de forensisch onderzoeker.

Wat is het eerste dat je doet als je een machine van een verdachte in handen krijgt of op de plaats van een delict komt?

Van der Wel: Voordat we een onderzoek starten, voeren we eerst een aantal stappen uit. Een onderzoek begint met een zogenaamd ‘intakegesprek’. In dit gesprek met de opdrachtgever proberen we te achterhalen wat de doelstelling van het onderzoek is en of een onderzoek gerechtvaardigd is. Ook kijken we waar we het beste naar mogelijke sporen kunnen zoeken. Na het intakegesprek sturen we een schriftelijk Plan van Aanpak. Deze twee stappen zijn verplicht voordat een Particulier Recherchebureau een onderzoek mag starten.

Afhankelijk van waar we naar mogelijke sporen zoeken en hoe we naar deze sporen gaan zoeken, bepalen we wat we doen als we aankomen op de ‘plaats veiligheidsinbreuk’. De term ‘plaats delict’ is voorbehouden aan de overheid.

Zo zijn er meerdere scenario’s denkbaar wat we met de machine van een ‘betrokkene’ uitvoeren. Ook de term ‘verdachte’ mag door ons niet gebruikt worden. Zo kunnen we bijvoorbeeld met behulp van speciale hardware een forensische kopie maken van een harde schijf uit de PC of laptop van een betrokkene of maken we een kopie van de gegevens uit een mobiele telefoon.

Uiteraard kunnen we deze stappen zeer snel uitvoeren. Als een zaak dus spoed heeft kunnen we vrijwel direct aan de slag. Onze apparatuur is dan ook verpakt in ‘uitruk koffers’ waarmee we heel snel ter plaatse kunnen zijn.

Op het internet zijn een aantal handleidingen te vinden over mogelijke stappen die je kunt nemen bij het betreden van aan plaats veiligheidsinbreuk. Een goed overzicht van dergelijke stappenplannen kun je vinden op: Forensics.nl of garykessler.net

Hoe maak je van een live machine een forensische fingerprint

Van der Wel: Het hangt er vanaf hoe je ‘live machine’ bedoelt in de vraag. Een machine die niet ‘offline’ mag, en dus aan blijft staan, bevat continue wisselende data. In dat geval is het lastig om een fingerprint te genereren, die is namelijk direct na het maken van de fingerprint weer gewijzigd.

Meestal zijn we echter vooral geïnteresseerd in specifieke data op een dergelijke machine, of bijvoorbeeld welke connecties van en naar deze machine worden gemaakt. In dat geval maken we een kopie van die specifieke data en berekenen een fingerprint over de gekopieerde data.

Daarnaast zijn er ook ‘live machines’ die wel offline mogen. Er is wat discussie of je een machine beter direct uit kunt zetten door de stroomkabel eruit te trekken en daarna een kopie maken van de harde schijf, of dat je eerst nog een analyse wilt uitvoeren op lopende processen, open connecties of wellicht een open versleutelde ‘container’ die met een wachtwoord beschermd is.

In ieder geval dien je goed de stappen te documenteren die je hebt ondernomen, zodat je later altijd kunt aangeven welke mogelijke sporen je zelf gecreëerd hebt. Een en ander hangt vooral van het onderzoek af en waar je mogelijke relevante sporen denkt te kunnen aantreffen.

De laatste tijd wordt veel gesproken over bedrijfsspionage, hoe vaak komt dit in de praktijk voor?

Van der Wel: Bedrijfsspionage is niet iets van de laatste tijd helaas. Ja, het komt voor en vaker dan menigeen denkt. Soms vindt bedrijfsspionage plaats in de vorm van het lekken van vertrouwelijke informatie naar de pers. Maar we komen ook zaken tegen waarbij informatie bewust gekopieerd en verspreid wordt met als doel geldelijk gewin. Een simpel voorbeeld is een vertrekkende sales manager die nog gauw voor zijn of haar vertrek de klanten database kopieert.

Over welke kwaliteiten beschikt een goede forensisch expert

Van der Wel: Een goede forensisch IT expert is in onze optiek een IT professional die beschikt over creativiteit en doorzettingsvermogen, die doelbewust is en buiten de geëigende paden kan denken. Tegelijkertijd moet je zeer nauwkeurig kunnen werken. Iemand die weet hoe je een goed onderzoek moet uitvoeren, kritisch is en met een ‘criminal mindset’ kan denken. Goed tactisch inzicht is hierbij van belang.

Daarnaast voeren wij onderzoeken altijd in multidisciplinair teamverband uit, dus samenwerken is belangrijk. En aangezien je met vervelende situaties te maken kunt krijgen moet je hier op een goede manier mee om kunnen gaan. Integriteit en goede communicatieve vaardigheden zijn daarom essentieel.

Tenslotte, het is zeer belangrijk om uiteindelijk een rapport te kunnen schrijven met hierin je bevindingen. Dat rapport moet ook door niet-IT’ers te begrijpen zijn.

De opslag van data groeit enorm. Het lijkt een kwestie van tijd voordat terabyte schijven beschikbaar zijn. Hoe ga je dit soort disks "clonen" laat staan onderzoeken als er zoveel data op staat?

Van der Wel: Meer mogelijke sporen betekent helaas niet altijd een makkelijker onderzoek…. Ook nu al kunnen we niet handmatig alle gekopieerde data bekijken. Om een voorbeeld te geven, 6 TB in 1 onderzoek is geen uitzondering. Dat betekent dat je in een onderzoek heel goed moet weten waar je mogelijke sporen kunt aantreffen en waar je naar op zoek bent. Alleen dan kun je gericht zoeken.

Gelukkig voor ons worden de tools die we gebruiken steeds slimmer en helpen onze programmeurs ook een handje bij het doorzoeken van grote hoeveelheden data.

Gebruik je voor het onderzoek zelf ontwikkelde tools of tools die vrijelijk via het internet beschikbaar zijn, en zo ja, welke?

Van der Wel: We gebruiken een verzameling aan forensische tools waar we het vertrouwen in hebben dat deze op een juiste en volledige manier werken. Dat zijn commerciële tools, maar ook open-source varianten. Echter, je kunt nooit volledig op tools alleen vertrouwen. Een goed voorbeeld in dit geval is de ‘Metasploit Anti-forensics’, http://www.metasploit.com/projects/antiforensics. Een set open source applicaties die de standaard forensische tools om de tuin leiden.

Daarom moet je als onderzoeker goed weten hoe je het resultaat van een tool moet interpreteren. Daarnaast werken wij met ‘schaduw onderzoekers’, die het resultaat van de andere onderzoekers verifiëren met een andere onderzoeksmethode dan de door de eerste onderzoeker gehanteerde.

Tenslotte hebben we programmeurs die zelf tools maken die bepaalde functionaliteit bieden die de standaard forensische tools niet bieden. Bijvoorbeeld het geautomatiseerd doorzoeken van duizende PST bestanden. Hier is geen standaard tool voor beschikbaar.

Het gaat te ver om alle tools op te noemen die wij gebruiken. Als je meer wilt weten over nieuwe tools: Wekelijks verschijnt bijvoorbeeld een podcast over de ontwikkelingen op ons vakgebied op http://cyberspeak.libsyn.com

Hoe wordt de onafhankelijkheid en objectiviteit van een forensisch onderzoeker gegarandeerd, zodat je zeker weet dat er niet met bewijsmateriaal is gesjoemeld?

Van der Wel: Een externe onderzoeker is nooit onafhankelijk, iemand betaalt de rekening immers. Een uitzondering is wanneer de rechtbank een ‘onafhankelijk deskundige’ inschakelt. We proberen wel zo veel mogelijk onafhankelijk een onderzoeksvoorstel neer te leggen. Waarbij we natuurlijk altijd de mogelijkheid hebben om een bepaalde opdracht wel of niet aan te nemen.

Om forensisch IT onderzoek uit te kunnen voeren dien je over het diploma Particulier Onderzoeker en de vergunning Particulier Recherchebureau te beschikken. Een van de eisen is dat je aan ‘objectieve waarheidsvinding’ hoort te doen. Dat betekent bijvoorbeeld dat we niet alleen op zoek gaan mogelijk belastende sporen, maar ook kijken of er geen ontlastende sporen of een andere verklaring mogelijk is. Door middel van ‘hoor en wederhoor’ zorg je er tevens voor dat ook andere mogelijke verklaringen in een onderzoek worden meegenomen.

Deze ‘objectieve waarheidsvinding’ vind je ook terug in de concept eindrapportage die wordt opgesteld. De betrokkene heeft ook altijd recht op inzage in het conceptrapport en deze van commentaar te voorzien.

Daarnaast staat het iedereen die met een onderzoeksrapport wordt geconfronteerd, een contra-expertise te laten uitvoeren. Daarom is het ook van belang om hashwaardes te berekenen over de data die je hebt veiliggesteld, en een goede ‘chain of custody’ vast te leggen. Op deze manier kun je als contra-onderzoeker controleren of je op hetzelfde bron materiaal onderzoek uitvoert en wie toegang heeft gehad tot het bronmateriaal.

Dit geeft tevens aan waarom het commercieel, naast ethisch en wettelijk, ook zo belangrijk is om objectief onderzoek te verrichten. Doe je dat namelijk niet, dan bestaat de mogelijkheid dat de ‘tegenpartij’ jouw rapport onderuit haalt en de waarde van je rapport verdwijnt.

Dan blijft natuurlijk de mogelijkheid over dat de onderzoekers geconfronteerd worden met ‘geprepareerd bewijsmateriaal’. Iets dat we ook daadwerkelijk in de praktijk tegenkomen. Een goede manier om gemanipuleerd onderzoeksmateriaal te herkennen is door kritisch te blijven, niet alleen op het digitale materiaal waar je onderzoek op uitvoert, maar ook op het onderzoek zelf. En tenslotte niet alleen naar 1 mogelijk ‘bewijs’ te kijken, maar ook of dit bewijs past binnen een groter plaatje en of er meerdere sporen zijn die het bewijs ondersteunen.

Een veel gehoorde klacht van forensisch expert is dat bedrijven bewijsmateriaal besmetten door zelf de detective te spelen of betrokken machines meteen weer in produktie nemen. Wat kun je in dit geval als echte forensisch expert nog doen?

Van der Wel: Het is nooit aan de forensisch IT onderzoeker om te bepalen of een server al dan niet off-line gehaald moet worden, we geven alleen advies. Het is namelijk een zakelijke beslissing waarin de gevolgen van het off-line halen van een server worden gewogen tegen het onderzoeksbelang. Deze keuze is altijd aan een opdrachtgever zelf. Het is echter wel de bedoeling dat deze keuze bewust wordt gemaakt en dat het duidelijk is in welke mate het onderzoeksbelang geschaad wordt.

Daarnaast zijn er inderdaad een groot aantal bedrijven die ‘zelf wel even onderzoek doen’. Het zien van sporen is namelijk niet extreem ingewikkeld en meestal vrij binair: het plaatje staat op de harde schijf of niet. Het e-mail bericht is verzonden vanaf dit account of niet’. Maar onderzoek is meer dan alleen sporen zien. Gevonden sporen moeten ook in de juiste context geplaats worden en bijna altijd gekoppeld worden aan een natuurlijk persoon. Daar komt meer bij kijken dan alleen melden dat een bepaald spoor wel of niet aanwezig is.

Het is niet altijd verstandig om zelfstandig onderzoek te doen. Los van de vraag of je technisch mogelijke sporen kunt zien, is het ook zaak om de juiste procedures te volgen. Hiermee voorkom je dat mogelijke sporen gewist worden. Of van nog groter belang, voorkom je dat je het verwijt krijgt dat bewijsmateriaal geprepareerd is om bijvoorbeeld een ontslag vergunning aan te vragen.

Het kan dus verstandiger zijn om in bepaalde gevallen niet zelf onderzoek uit te voeren maar externe en objectieve onderzoekers in te schakelen. Daarnaast moet je ook de vraag stellen of je wilt dat een IT’er onderzoek doet naar zijn of haar collega’s.

Als een organisatie pas na een bepaalde tijd ons inschakelt en al die tijd is op een machine met mogelijke sporen doorgewerkt, geven we duidelijk aan dat mogelijke sporen wellicht overschreven zijn (denk bijvoorbeeld aan roterende logbestanden) of dat het moeilijker kan zijn om bepaalde sporen aan een natuurlijke persoon toe te kennen.

Als een organisatie zelf onderzoek heeft verricht en niet de juiste procedures heeft gehanteerd, melden we ook dat wellicht mogelijke sporen zijn overschreven en het afbreukrisico dat een onderzoek heeft met het verweer van geprepareerd bewijsmateriaal.

Waarom wordt digitaal recherchewerk niet door de politie gedaan? En wat mag een particulier recherchebureau nu wel en niet uitvoeren?

Van der Wel: De politie voert wel degelijk digitaal recherchewerk uit. Dat is niet altijd zichtbaar voor de burger en daar kun je als burger ook niet op sturen. Met andere woorden, als burger kun je niet bepalen welke onderzoeken wel en niet door de politie worden uitgevoerd en welke middelen wel en niet ingezet worden.

De overheid heeft een monopoly op strafrecht zaken. Een particulier recherchebureau houdt zich alleen bezig met civielrechtelijke zaken.

In een notedop: Een organisatie heeft, mits er sprake is van gegronde verdenkingen, proportionaliteit en subsidiariteit, recht om een gericht onderzoek uit te voeren op haar eigen bedrijfmiddelen. Dat recht om onderzoek uit te voeren mag een organisatie overdragen op een Particulier Recherchebureau.

Een particulier recherchebureau mag dus niets meer dan welke andere burger dan ook, behoudens het recht overgedragen krijgen om onderzoek op eigen middelen uit te voeren. En eigen middelen zijn dan ook de middelen die echt in eigendom zijn van de organisatie. Indien bijvoorbeeld een medewerker zijn of haar privé USB stick gebruikt voor bedrijfsdoeleinden, mag een organisatie deze USB stick niet zomaar laten onderzoeken. Tenzij sprake is van strafbare feiten, maar dan kom je bij de overheid uit.

Meer informatie staat onder andere op: Justitie.nl.

Tenslotte zijn er nog een aantal wettelijke regels en bepalingen die van belang zijn bij de uitvoer van een onderzoek door een particulier recherchebureau. Het instemmingsrecht en de geheimhoudingsplicht van de ondernemingsraad. Onder andere op: Or.nl.

De Wet Bescherming Persoonsgegevens: CPBweb.nl

Een overzicht van verschillende onderzoeksmethoden staan in de, door het College Bescherming Persoonsgegevens goedgekeurde, gedragscode: CPBweb.nl

En tenslotte heeft een particulier recherchebureau ook een informatieplicht naar betrokkenen: hier en hier.

De tools voor forensisch onderzoek worden steeds complexer, Hoe controleer je of verifieer je de juistheid en volledigheid van deze tools en wordt het hierdoor niet moeilijker om bewijs aan de rechter te presenteren?

Van der Wel: Het is van essentieel belang dat een goede forensisch IT onderzoek weet wat een tool doet en welke (mogelijke) beperkingen een tool heeft. Daarom worden bij Fox-IT onderzoeksresultaten geverifieerd door een ‘schaduw onderzoeker’ die niet met dezelfde tools werkt.

Het presenteren van bevindingen uit een forensisch IT onderzoek is altijd een lastige opgave. Immers, hoe leg je aan een niet-IT’er uit dat wat je bijvoorbeeld in slackspace gevonden hebt, leidt tot de conclusie die je getrokken hebt?

In de rechtzaal staat de validiteit van de gebruikte tools (nog) niet echt ter discussie. De gebruikte tool is in onze optiek ook niet bijster interessant. Het gaat (in een contra-expertise) om de gevonden resultaten. Als je dezelfde onderzoeksvragen op minimaal hetzelfde onderzoeksmateriaal los laat, kom je dan tot dezelfde bevindingen en trek je dezelfde conclusies of niet? Dat is waar het om gaat, en of je dat nu handmatig, met tool A of met tool B hebt onderzocht, is niet relevant.

Dit laat onverlet dat je als onderzoeker moet realiseren dat tools mogelijk fouten bevatten of niet alles zien. Forensisch IT onderzoek is daarmee meer dan alleen het draaien van wat tools en een automatisch rapport door een tool laten generen. Het is vakwerk waar hoogwaardige kennis bij komt kijken.

Op wat voor manier gebruikt een digitale detective "traditionele recherchetechnieken"

Van der Wel: Je kunt alleen goed forensisch IT onderzoek uitvoeren als je ook tactisch inzicht hebt in de zaak. Verder maak je soms gebruik van de meer traditionele recherchetechnieken. Denk bijvoorbeeld aan het vastleggen welke gebruiker op welk moment achter een bepaalde PC plaats neemt. Dat kun je met behulp van een digitaal sporenonderzoek proberen vast te stellen, of door bijvoorbeeld naar camera beelden te kijken. Ook het houden van interviews kan een waardevolle aanvulling zijn.