Digitaal forensisch onderzoek is vandaag de dag niet meer weg te denken, maar waar moet er tijdens het onderzoek op worden gelet? Security.nl vroeg het Rémon Verkerk, business development manager computer forensics van Kroll Ontrack. Hiervoor was Verkerk lid van het Digital Expertise Team en van de gespecialiseerde unit Terrorisme en Activisme bij het Korps Landelijke Politiediensten (KLPD). Ook maakte hij deel uit van de European Working Party on IT-Crime (EWPITC) van Interpol.
Als onderzoeker/rechercheur leidde Verkerk honderden forensische onderzoeken, die onder meer betrekking hadden op fraude, hacking, schadelijke software en inbraak in informatiebeveiligingssystemen. Ook ontwikkelde en gaf hij training op het gebied van digitaal forensisch onderzoek en cybercrime.
Wat doen bedrijven vaak verkeerd als er een incident plaatsvindt en er een forensisch onderzoek moet plaatsvinden?
Verkerk: Bij het ontdekken van een incident wil men het liefst zo spoedig mogelijk een inschatting maken van de aard en omvang. Het komt dan ook regelmatig voor dat een ICT-medewerker in het beginsel zelfstandig onderzoek instelt. Tijdens dergelijke onderzoeken wordt vaak ongewild en zonder dat men zich hiervan bewust is de integriteit van mogelijk bewijsmateriaal aangetast. Dit is vergelijkbaar met het (onbevoegd) betreden van een plaats delict door een onbevoegde, waarbij ongewild vingerafdrukken of DNA-materiaal wordt achtergelaten op het moordwapen. Het kost de forensisch onderzoeker onnodig veel tijd om vast te stellen welke sporen afkomstig zijn van de dader en welke van de behulpzame omstander.
Is het verstandig om als bedrijf je eigen forensische onderzoek te starten, zo ja, welke vaardigheden zijn hiervoor nodig.
Verkerk: Wanneer je binnen je onderneming regelmatig geconfronteerd wordt met frauduleus handelen of andere onregelmatigheden, dan is het wellicht de overweging waard om zelf een forensisch afdeling in te richten. Men dient zich wel te beseffen dat het opzetten van een dergelijke afdeling een grote voortdurende investering en commitment van het management verlangd. Expertise op dit gebied is schaars. Veel ondernemingen hebben moeite met het vinden van gekwalificeerd personeel. Om het kennisniveau van deze mensen op peil te houden zal ook geïnvesteerd moeten worden in ontwikkeling van kennis en kunde. Daar komen dan tevens nog de hoge kosten voor hard- en software bij. Dit maakt het voor veel ondernemingen dan ook aantrekkelijker om het digitaal forensisch onderzoek te outsourcen.
Wat kom je als forensisch onderzoeker vaak tegen bij het onderzoeken van incidenten?
Verkerk: Ondanks de sterke toename van cybercrime en berichtgevingen van veiligheidsdiensten over de toenemende dreiging van identity-theft en bedrijfsspionage hebben organisaties nog het meest te verduren van de eigen medewerkers. Om tot een strafbaar feit of andere niet toelaatbare gedraging te komen moet de dader/pleger beschikken over een motief, middel en gelegenheid. In de meeste gevallen heeft een medewerker überhaupt al meer gelegenheid en staan hem of haar meer middelen ter beschikking. Een veelvoorkomend probleem ontstaat doordat medewerkers opzettelijk strategische of vertrouwelijke informatie lekken of wederrechtelijk toe-eigenen. Het gebruik van web mail en Cloud diensten (remote storage) is hierbij een veelgebruikt middel.
De afgelopen jaren zijn er tal van opleidingen voor digitaal particulier onderzoeker verschenen, maar inmiddels verdwijnen die ook weer. Is er wel voldoende vraag naar dit soort vakmensen?
Verkerk: Naar mijn inziens is er veel vraag naar gekwalificeerde vakmensen en dit zal alleen maar groter worden. Dit heeft te maken met de voortdurende ontwikkeling binnen de ICT, maar ook door de toenemende dreiging van cybercrime op kritische infrastructuren en vertrouwelijke bedrijfsgegevens. In het verleden is gebleken dat sommige forensische opleidingen onvoldoende aansloten op het gewenste niveau binnen publieke en private sector. Wil men een dergelijke opleiding goed van de grond krijgen dan is nauwe samenwerking met deze beroepsgroepen binnen overheden en bedrijfsleven noodzakelijk.
Wat moet je als goed forensisch onderzoeker altijd in je achterhoofd houden?
Verkerk:
Of zoals Sherlock Holmes het verwoordde: “Eliminate all other factors, and the one which remains must be the truth.”
Welke tools moet een forensisch onderzoeker minimaal in zijn vingers hebben zitten?
Verkerk: In de afgelopen elf jaar dat ik werkzaam ben in dit vakgebied ben ik niet één tool tegengekomen die alles in zich had om een digitaal forensisch onderzoek betrouwbaar en efficiënt uit te voeren. Uiteindelijk zorgt de forensische tool slechts voor een interpretatie van binaire getallen. Net als andere software bevatten forensische tools ook beperkingen en onvolkomenheden. Het is van belang de (relevante) uitkomsten van je onderzoek met meerdere tools te verifiëren. Het voordeel van open source tools is dat de juiste werking eenvoudiger kan worden gecontroleerd.
Het is geen kunst om een forensische tool te gebruiken. Het is wel een kunst om de gepresenteerde gegevens juist te interpreteren. Dit kan vaak alleen als de werking van de gebruikte tools, bestandssystemen en bestandseigenschappen werkelijk doorgrond zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.