Tijdens een themaweek over IT forensics mag een interview met een forensisch expert natuurlijk niet ontbreken. Wij interviewden Ir Johan ten Houten, een van de grondleggers van IT Forensics (sinds 1990) in Nederland. Dinsdag publiceerden we al een artikel van hem "ICT forensics, fraude en informatiebeveiliging", waarin de rol van ICT in forensische onderzoeken werd behandeld. Gisteren verscheen het eerste deel van het interview met ten Houten,
vandaag deel twee.

De opslag van data groeit enorm. Het lijkt een kwestie van tijd voordat terabyte schijven beschikbaar zijn. Hoe ga je dit soort disks "clonen" laat staan onderzoeken als er zoveel data op staat?

Ten Houten: De toekomst ligt in het vooraf bepalen van kenmerken die een document (of een deel van een disk) belangrijk maken voor het onderzoek. Alleen deze delen worden voor het onderzoek veiliggesteld.
Deze methode wordt al toegepast in verschillende forensische tools (Logical Evidence Files).

Door de verdere automatisering is steeds meer informatie aanwezig waar een forensisch onderzoek mee kan werken. Dit zal leiden tot tools die steeds meer kennis in zich hebben met alle risico's van dien. Hoe controleer je of verifieer je de juistheid en volledigheid van steeds complexere tools." Hoe kun je de juistheid verifiëren en wordt het hierdoor niet moeilijker om bewijs aan de rechter te presenteren?

Ten Houten: De juistheid van je bevindingen wordt bepaald door meerdere factoren. Ten eerste: ” één bewijs is geen bewijs” – meerdere bevindingen dienen met elkaar in overeenstemming te zijn. Ten tweede door gebruik te maken van geverifieerde gereedschappen en terdege opgeleide onderzoekers. Gelukkig erkennen de leverancier hun rol in deze en worden de tools goed getest en aangeboden voor verificatie aan verschillende instanties. Deloitte heeft een wereldwijd netwerk van forensische onderzoekers die onderling ervaringen uitwisselen.

Gebruik je voor het onderzoek zelf ontwikkelde tools of tools die vrijelijk via het internet beschikbaar zijn, en zo ja, welke?

Ten Houten: We gebruiken geen zelf ontwikkelde tools. Voor de reguliere onderzoeken gebruiken wij erkende en uitgebreide tools met licenties zoals FTK en EnCase. Voor sommige onderzoeken gebruiken we wel kleine (open source) tools zoals: Linux tools, hash berekeningen, netcat en dd. Deze tools worden getest en geverifieerd en zijn wereldwijd erkend voor dit soort toepassingen.
Belangrijk is dat we kunnen aantonen welke resultaten we met welke tools hebben bereikt en dat de bron data nooit door de tools aangetast of gewijzigd worden.

Een van de lastigste punten lijkt het aanbieden van gevonden bewijs aan een rechter. Hoe presenteer je complexe gegevens aan een rechter die vaak geen verstand van computers heeft.

Ten Houten: Een onderzoek voor een rechter heeft in feite alleen waarde als hij de uitkomst kan interpreteren. Het is essentieel daarom in het rapport te beschrijven – wat betekent dit of wat betekent het juist NIET en hoe kom ik aan die gegevens. Soms wordt aangegeven dat de oorzaak van bevingen niet voor 100% verklaard kan worden.

Is er in Nederland wel een markt voor forensisch experts?

Ten Houten: Zeker, de vraag naar en omvang van onderzoeken neemt nog steeds toe. De oorzaak ligt zowel in het toenemen van fraude en misstanden als door het strenger worden van wet en regelgeving.

"het was een virus" is in het verleden een aantal keren als excuus gebruikt door verdachten, die op deze manier wilden aantonen dat zij niet verantwoordelijk waren voor belastend materiaal dat op hun PC was aangetroffen. Sommige malware kan zichzelf verwijderen, is het dan toch nog mogelijk om te bewijzen of het om een virus ging of niet?

Ten Houten:Een virus of ander kwaadaardig programma laat (bijna) altijd sporen achter, ook al is dit voor de gebruiker niet zichtbaar. Aan de hand van onderliggende gegevens kunnen we redelijk goed aantonen wat er is gebeurd.

Hoe wordt de onafhankelijkheid en objectiviteit van een forensisch onderzoeker gegarandeerd, zodat je zeker weet dat er niet met bewijsmateriaal is gesjoemeld?

Ten Houten: Voor een accountant is onafhankelijkheid en objectiviteit geen nieuw fenomeen. Daar zijn normen, gedrags- en beroepscodes voor. Deze zijn ook van toepassing op forensische onderzoeken. Daarnaast gelden strikte regels voor “keten van bewijsvoering” en wordt altijd met een kopie van de digitale gegevens gewerkt zodat een onafhankelijk tegenonderzoek tot de uitkomsten onafhankelijk kan verifiëren.

Wat als je collega je logingegevens heeft en uit jouw naam allerlei ellende veroorzaakt, dat kun je nooit weerleggen of wel?

Ten Houten: Één bewijs is geen bewijs. Als het om het handelen van een medewerker gaat gelden voor een accountant de regels voor persoonsgebonden onderzoeken. Wij zullen dan met de betrokken persoon ook zijn of haar visie van de gebeurtenissen in het onderzoek meenemen.
Wat wij kunnen vaststellen is dat er op een bepaalde computer bepaalde handelingen zijn gedaan. Als de betrokkene het bewijs betwist is het ook van belang dat je op zoek gaat naar tegenstrijdigheden. Wij geven daarom in een rapport geen oordeel over het handelen (of nalaten daarvan) van een persoon maar geven de feiten weer.

Hoe gaan jullie om met Tor-netwerken en het verzamelen van bewijs waar iemand geweest is.

Ten Houten: Tot nu toe hebben we geen onderzoek gedaan waarbij gebruik is gemaakt van een TOR computer of netwerk. Het doel van een TOR netwerk is om anoniem op Internet te zijn. De computer van de dader zelf is niet vrij van bewijs. Een handeling kan aan een persoon gekoppeld worden door een IP-adres, een login naam en mogelijk door andere patronen of bijvoorbeeld overeenkomsten van tijdstippen tussen twee computers. Echt onzichtbaar ben je nooit, alle handelingen laten sporen na. Het is alleen moeilijker de sporen direct één op één te koppelen aan één bepaalde computer.