Het Nederlands Forensisch Instituut (NFI) werkt aan een op Linux-gebaseerd forensisch besturingssysteem waarmee politie straks op afstand bewijsmateriaal met betrekking tot botnets kan veiligstellen en analyseren. Dat laat projectleider Ruud Schramp in een interview met Security.NL weten.

Op dit moment hebben botnetbeheerders hun operationele security, ook wel OpSec genaamd, goed op orde, wat onderzoeken bemoeilijkt. Daarnaast is het veiligstellen en analyseren van digitaal bewijsmateriaal een tijdsintensieve en kostbare operatie voor zowel politie als de datacentra waar de data zich bevinden. Via het project, dat het NFI vorig jaar startte, moeten deze zaken worden gestroomlijnd. Onlangs ontving het project van de Nationaal Coördinator Terrorismebestrijding en Veiligheid een financiële stimulans.

Botnets zijn nog altijd een probleem, stelt Schramp. Dagelijks zijn er meer dan duizend malwaredomeinen actief die botnets gebruiken en kunnen worden onderzocht. Waar het de onderzoekers echter om is te doen zijn de operationele securityfouten die de cybercriminelen maken. "Ze doen het honderd keer goed, maar ze maken ook fouten. De enige manier om die te vinden is het veiligstellen van data", laat Schramp weten. Dit is echter een kostbare aangelegenheid. Daarom wil het NFI met dit project de kosten naar beneden brengen en de mogelijkheid bieden dat er vaker data kunnen worden veiliggesteld.

De kosten zitten vooral in de bewerkelijkheid van de huidige werkwijze. Nadat er een gerechtelijk bevel is verkregen moeten namelijk twee personen, een technische diender alsmede een officier van justitie of hulpofficier naar het datacentra. Daar moet vervolgens een werknemer van het datacentra bij het kopiëren van de data zijn. "Babysitten", zoals Schramp het noemt. "Dat is voor beide partijen niet fijn. Zeker als het kopiëren uren duurt." Zo komt het regelmatig voor dat het om terabytes aan data gaat die via een "writeblocker" op de harde schijven van de politie worden gekopieerd en daarna geanalyseerd. Vaak heeft de politie niet al die data nodig, of komt men er bij het analyseren achter dat het om versleutelde data gaat. Het is handig om dit soort informatie van tevoren te hebben.

Daarom zocht het NFI naar een oplossing die past binnen de huidige omgeving en werkwijze van hostingbedrijven en in staat is om politie eerder inzicht in de data te geven. "Zodoende hoeft politie geen terabytes te bewaren", merkt Schramp op. "Voor bewijsvoering ligt dat vaak moeilijk. Zeker in de VS waar er vastgestelde regels en procedures zijn. Zo kan het dan niet binnen een rechtszaak worden gebruikt omdat het niet compleet is. Maar je moet wel naar selectiever verzamelen toe, want je kunt niet van al die duizenden pc's al die terabytes bewaren."

Forensisch OS

Om het proces efficiënter te laten verlopen is het belangrijk dat politie op afstand aan de slag kan gaan. Dat scheelt namelijk mankracht. Daarnaast zorgt het vroegtijdig analyseren van de data ervoor dat er eerder kan worden gekeken of een botnetserver interessante informatie bevat. Om dit te realiseren is het forensisch OS bedacht. Zodra er een botnetserver is geïdentificeerd en de officier van justitie een gerechtelijk bevel aan het datacentrum geeft, kunnen die het forensisch OS op de betreffende server starten. Schramp merkt op dat het OS alleen met medewerking van de hostingpartij kan worden gestart en dat er geen sprake van permanente toegang tot de hostingomgeving is. Het project is vooral op dedicated hostingomgevingen gericht, waarbij er met fysieke servers wordt gewerkt. Het forensisch OS kan vanaf een cd, USB-stick of via PXE worden gestart.

Zodra het OS is geladen wordt er verbinding gezocht met een acquisitiesysteem bij de politie. Via dit systeem is het mogelijk om verzoeken naar het forensisch OS te sturen of bepaalde onderzoeken op de data uit te laten voeren. De data op de onderzochte server worden dan naar dit politiesysteem gekopieerd, dat zich bijvoorbeeld ook bij de hostingprovider kan bevinden, om zo het kopiëren van de data efficiënter te maken. Een andere mogelijkheid is dat er met een leaselijn wordt gewerkt. Schramp merkt op dat het acquisitiesysteem meer is dan een manier om alleen data veilig te stellen. Het kan ook allerlei analyses uitvoeren, bijvoorbeeld het weergeven van logs en andere data.

Aan de hand van deze informatie kan de politie in een vroegtijdig stadium inschatten of verder onderzoek mogelijk is, het kopiëren van andere data niet is vereist of er toch naar het datacentrum voor een uitgebreide forensische analyse moet worden gegaan. Het systeem is vooral bedoeld voor zaken waarbij er naar operationele securityfouten wordt gezocht, dan voor de zeer belangrijke zaken waarbij al wordt verwacht dat er belangrijk materiaal op de machine staat. In dat laatste geval zal de politie nog steeds fysiek langsgaan. Het is ook de bedoeling dat er via het systeem met hostingproviders en de officier van justitie kan worden gecommuniceerd.

Linux

Als basis voor het forensisch OS is gekozen voor Linux. Het is daarbij belangrijk dat de gegevens op een manier worden veiliggesteld die forensisch verantwoord is. Daarvoor is het volgens Schramp nodig om het besturingssysteem te laten certificeren. Deze certificeringsslag zal waarschijnlijk in het project niet gebeuren. "Maar we hebben onderzoek gedaan in hoeverre het mogelijk is om het Linux OS verder te hardenen." Zo zijn er patches ontwikkeld om op het niveau van disk I/O zaken read-only te maken. Daarnaast kunnen er ook dieper in de kernel blokkades worden opgelegd. "En daar hebben we al patches voor gemaakt", merkt Schramp op. De kernelpatches zijn via GitHub openbaar gemaakt.

Het blijft de vraag in hoeverre een softwarematige oplossing voor het veiligstellen van data is te vertrouwen ten opzichte van een fysieke oplossing als een writeblocker. "Het forensisch OS kun je heel betrouwbaar maken, maar het blijft software", merkt Schramp op. "Je moet dan ook goed uitleggen welke safeguards het OS biedt en waar de laatste gaatjes zitten. Veiligstellen middels een besturingssysteem, een live cd-achtige omgeving, is op zich binnen de forensische wereld niet meer zo'n doodzonde als het vroeger was."

Die houding begint volgens Schramp langzaam te verschuiven. Ook vanwege de grootte van harde schijven en problemen met raid-controllers. Het echt individueel disk-imagen met een writeblocker blijft de heilige graal, zeker binnen het Amerikaanse systeem, merkt hij op. "Praktisch gesproken wordt het wel een beetje losgelaten."

Schramp hoopt dat het forensisch OS later dit jaar in preproductie komt. Daarna moet het worden getest en moet er worden gekeken of voldoende partijen er heil in zien. Daarbij wordt ook nog de input van hostingproviders gezocht. Een eventuele uitrol zou, na een verdere productontwikkeling, dan later plaatsvinden.