Security.nl interview: Do's en dont's van IT-forensics
Digitaal forensisch onderzoek is vandaag de dag niet meer weg te denken, maar waar moet er tijdens het onderzoek op worden gelet? Security.nl vroeg het Rémon Verkerk, business development manager computer forensics van Kroll Ontrack. Hiervoor was Verkerk lid van het Digital Expertise Team en van de gespecialiseerde unit Terrorisme en Activisme bij het Korps Landelijke Politiediensten (KLPD). Ook maakte hij deel uit van de European Working Party on IT-Crime (EWPITC) van Interpol.
Als onderzoeker/rechercheur leidde Verkerk honderden forensische onderzoeken, die onder meer betrekking hadden op fraude, hacking, schadelijke software en inbraak in informatiebeveiligingssystemen. Ook ontwikkelde en gaf hij training op het gebied van digitaal forensisch onderzoek en cybercrime.
Wat doen bedrijven vaak verkeerd als er een incident plaatsvindt en er een forensisch onderzoek moet plaatsvinden?
Verkerk: Bij het ontdekken van een incident wil men het liefst zo spoedig mogelijk een inschatting maken van de aard en omvang. Het komt dan ook regelmatig voor dat een ICT-medewerker in het beginsel zelfstandig onderzoek instelt. Tijdens dergelijke onderzoeken wordt vaak ongewild en zonder dat men zich hiervan bewust is de integriteit van mogelijk bewijsmateriaal aangetast. Dit is vergelijkbaar met het (onbevoegd) betreden van een plaats delict door een onbevoegde, waarbij ongewild vingerafdrukken of DNA-materiaal wordt achtergelaten op het moordwapen. Het kost de forensisch onderzoeker onnodig veel tijd om vast te stellen welke sporen afkomstig zijn van de dader en welke van de behulpzame omstander.
Is het verstandig om als bedrijf je eigen forensische onderzoek te starten, zo ja, welke vaardigheden zijn hiervoor nodig.
Verkerk: Wanneer je binnen je onderneming regelmatig geconfronteerd wordt met frauduleus handelen of andere onregelmatigheden, dan is het wellicht de overweging waard om zelf een forensisch afdeling in te richten. Men dient zich wel te beseffen dat het opzetten van een dergelijke afdeling een grote voortdurende investering en commitment van het management verlangd. Expertise op dit gebied is schaars. Veel ondernemingen hebben moeite met het vinden van gekwalificeerd personeel. Om het kennisniveau van deze mensen op peil te houden zal ook geïnvesteerd moeten worden in ontwikkeling van kennis en kunde. Daar komen dan tevens nog de hoge kosten voor hard- en software bij. Dit maakt het voor veel ondernemingen dan ook aantrekkelijker om het digitaal forensisch onderzoek te outsourcen.
Wat kom je als forensisch onderzoeker vaak tegen bij het onderzoeken van incidenten?
Verkerk: Ondanks de sterke toename van cybercrime en berichtgevingen van veiligheidsdiensten over de toenemende dreiging van identity-theft en bedrijfsspionage hebben organisaties nog het meest te verduren van de eigen medewerkers. Om tot een strafbaar feit of andere niet toelaatbare gedraging te komen moet de dader/pleger beschikken over een motief, middel en gelegenheid. In de meeste gevallen heeft een medewerker überhaupt al meer gelegenheid en staan hem of haar meer middelen ter beschikking. Een veelvoorkomend probleem ontstaat doordat medewerkers opzettelijk strategische of vertrouwelijke informatie lekken of wederrechtelijk toe-eigenen. Het gebruik van web mail en Cloud diensten (remote storage) is hierbij een veelgebruikt middel.
De afgelopen jaren zijn er tal van opleidingen voor digitaal particulier onderzoeker verschenen, maar inmiddels verdwijnen die ook weer. Is er wel voldoende vraag naar dit soort vakmensen?
Verkerk: Naar mijn inziens is er veel vraag naar gekwalificeerde vakmensen en dit zal alleen maar groter worden. Dit heeft te maken met de voortdurende ontwikkeling binnen de ICT, maar ook door de toenemende dreiging van cybercrime op kritische infrastructuren en vertrouwelijke bedrijfsgegevens. In het verleden is gebleken dat sommige forensische opleidingen onvoldoende aansloten op het gewenste niveau binnen publieke en private sector. Wil men een dergelijke opleiding goed van de grond krijgen dan is nauwe samenwerking met deze beroepsgroepen binnen overheden en bedrijfsleven noodzakelijk.
Wat moet je als goed forensisch onderzoeker altijd in je achterhoofd houden?
Verkerk:
- Wees je bewust van je eigen beperkingen;
- Zorg voor een transparante vastlegging van je handelen;
- Verifieer je bevindingen;
- Vertrouw niet blind op de juiste werking van forensisch onderzoeksoftware;
- Beperkt je tot met het trekken van conclusies tot je eigen expertisegebied;
- Wees objectief en integer;
- Rapporteer ook ontlastend bewijs.
Een opdrachtgever (klant, officier van justitie, rechtbank, etc.) heeft belang bij dat de conclusie van het onderzoek helder beargumenteerd is. Onderbouw de mate van waarschijnlijkheid van jouw conclusie en benoem waarom jij denkt dat jouw conclusie het meest waarschijnlijk is. Beperk je tijdens het onderzoek niet tot een enkel scenario, maar onderzoek ook andere mogelijkheden.
Of zoals Sherlock Holmes het verwoordde: “Eliminate all other factors, and the one which remains must be the truth.”
Welke tools moet een forensisch onderzoeker minimaal in zijn vingers hebben zitten?
Verkerk: In de afgelopen elf jaar dat ik werkzaam ben in dit vakgebied ben ik niet één tool tegengekomen die alles in zich had om een digitaal forensisch onderzoek betrouwbaar en efficiënt uit te voeren. Uiteindelijk zorgt de forensische tool slechts voor een interpretatie van binaire getallen. Net als andere software bevatten forensische tools ook beperkingen en onvolkomenheden. Het is van belang de (relevante) uitkomsten van je onderzoek met meerdere tools te verifiëren. Het voordeel van open source tools is dat de juiste werking eenvoudiger kan worden gecontroleerd.
Het is geen kunst om een forensische tool te gebruiken. Het is wel een kunst om de gepresenteerde gegevens juist te interpreteren. Dit kan vaak alleen als de werking van de gebruikte tools, bestandssystemen en bestandseigenschappen werkelijk doorgrond zijn.
Het vind natuurlijk - deels - zijn oorsprong in data recovery en dat is vrijwel 1 dag ouder dan data dragers. (tientallen! jaren)
De ontwikkelingen gaan echter wel snel op dit gebied.
Wil niet arrogant overkomen, maar een van de belangrijkste eisen die een potentiële werk- of opdrachtgever zal stellen is ervaring en die kun je, tenzij stomtoevallig en hoe onwaarschijnlijk ook, opgedaan tijdens een stageproject.
Ik heb ooit het twijfelachtig genoegen mee mogen maken te kunnen helpen met mijn expertise van een mogelijk geval van fraude door een medewerker bewijzen te achterhalen. Ik had daar een ICT-collega van een naburige subafdeling bij nodig. Alleen samen zouden we het benodigde op tafel kunnen krijgen. Dit alles moest zeer omzichtig zonder dat anderen hier 'lucht' van konden krijgen, gebeuren. Deze discipline is uiterst boeiend en ik waardeer je interesse, maar dit soort dingen heb je denk ik niet op school geleerd. Daar is minstens een aantal maanden ervaring en 'Fingerspitzengefühl' voor nodig om tot een bevredigend resultaat te kunnen komen.
Ontwikkelen van een cursus en/of training is natuurlijk mogelijk. Of ze er al zijn en zo ja waar en in welke vorm weet ik niet. Zou wel eens een gat in de opleidingsmarkt kunnen zijn waar ik desgewenst wel bij en in wil springen.
Het vind natuurlijk - deels - zijn oorsprong in data recovery en dat is vrijwel 1 dag ouder dan data dragers. (tientallen! jaren)
De ontwikkelingen gaan echter wel snel op dit gebied.
De techniek is welliswaar nauwelijks nieuw te noemen (afgezien van de standaard IT-innovatie van de afgelopen jaren). Maar het hele principe van cybercrime bestrijding en onderzoeken binnen bedrijven is wel degelijk iets wat pas de laatste jaren groot geworden is.
Begin eens met een CCNA, en MCITP.
Zoals je ziet wordt fraude e.d. vaak door eigen medewerkers gepleegd, en wie heeft meer middel en gelegenheid dan een systeembeheerder? (motief: geld/frustratie).
Het is dus zaak om minstens een systeembeheerder te kunnen zijn, of deze te kunnen doorzien, en is het niet de systeembeheerder, dan heb je deze vaak nodig om je onderzoek te begeleiden, en dan is het handig als je dezelfde taal spreekt.
Vervolgens is het handig dat je kunt denken als een fraudeur, want als jij dat open raam niet ziet naast de vergrendelde deur, zul je daar ook nooit naar sporen gaan zoeken.
Het gaat niet om welk boek je doorgebladerd hebt, of welke academische methode je gebruikt, het gaat om fantasie, ervaring, inleving, een flinke dosis intelligentie en relateer-vermogen, een beetje geluk, en veel, heel veel doen.
... en je moet al die IT-blabla kunnen vertalen naar management niveau, dus gebruik veel taartdiagrammen, in kleur. ;-)
Waarom zou een systeembeheerder gefrustreerd zijn?
Wat je laatste zin betreft is het andersom. IT heeft niveau en managers praten 'blabla' ;-))
De techniek is welliswaar nauwelijks nieuw te noemen (afgezien van de standaard IT-innovatie van de afgelopen jaren). Maar het hele principe van cybercrime bestrijding en onderzoeken binnen bedrijven is wel degelijk iets wat pas de laatste jaren groot geworden is.
Waarom houd ik me er dan al sinds 1998 mee bezig? (betalingsverkeer en pasgerelateerd) en ik had voorgangers, hoor!
Je reactie getuigd nou niet bepaald van kennis op dit gebied.
Begin eens met een CCNA, en MCITP.
Leg mij eens uit wat dit in godsnaam met IT forensics te maken heeft. Ik heb dit soort dingen al lang en breed gehad (onderdeel van de opleiding en werkervaring) en het is erg prettig als je die kennis hebt maar dat staat los van IT forensics.
En aan de ene kant geef je aan dat het niet uit maakt welk boek je doorgebladerd hebt, of welke academische methode je gebruikt maar je begint wel met CCNA en MCITP te smijten.
Waarom houd ik me er dan al sinds 1998 mee bezig? (betalingsverkeer en pasgerelateerd) en ik had voorgangers, hoor!
Je reactie getuigd nou niet bepaald van kennis op dit gebied.
Wil jij beweren dat wat je in 1998 deed hetzelfde is als dat je nu doet? Fijn dat je mij zo op mijn plek wil zetten maar als jij zegt dat de IT forensics van nu ook maar iets lijkt op die in 1998 dan twijfel ik eigenlijk aan jouw kennis op dit gebied. Het doel was wellicht hetzelfde, maar de manier waarop totaal anders. Daarnaast is de awareness bij bedrijven vele malen groter (en nog steeds veel te laag). Cybercrime is iets van de afgelopen paar jaar, daarvoor was het minimaal.
Het instrumentarium is veranderd. De onderzoeksgebieden niet. Iedereen met kennis van zaken weet dat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
