Digitaal sporenonderzoek

Digitaal sporenonderzoek is onderzoek naar digitale sporen en gegevens die op andere wijze niet mogelijk waren om te achterhalen. Digitale sporen worden in Nederland beschouwd als indirect bewijs en zullen dus op zichzelfstaand niet tot een veroordeling leiden.

Digitale sporen[bewerken | brontekst bewerken]

Digitale sporen is een allesomvattend begrip, alles wat digitaal is en wat kan bijdragen aan het oplossen van een delict kan worden gezien als digitaal spoor. Een paar voorbeelden:

• Data op een computer c.q. laptop, waaronder documenten, foto's of andere bestanden die relevant zijn voor een onderzoek.
• Surfgedrag op internet.
• E-mailverkeer.
• Websites.
• (de-)centrale databases.
• Telefoonverkeer.
• Peilgegevens van een gsm of pda.
• Gegevens uit een gsm of pda.
• Logbestanden van een provider/server.

Al deze gegevens kunnen ertoe bijdragen dat een zaak wordt opgelost en moeten dus worden verzameld en verwerkt. Hierbij is zowel discretie als gedocumenteerd werken belangrijke, want er kan met de gegevens geknoeid zijn of worden.

Geschiedenis[bewerken | brontekst bewerken]

Sinds de jaren tachtig is met de opkomst van de computers, laptops, pda's en internet en de verdere digitalisering van alle gegevens behoefte gekomen aan onderzoek naar deze media en het gebruik hiervan bij het plannen en uitvoeren van criminele activiteiten. In begin was dit alleen passief onderzoek, meestal met bij huiszoeking aangetroffen apparatuur, tegenwoordig sporen digitale rechercheurs echter ook actief op internet naar strafbare feiten. Ook dit hoort bij digitaal sporenonderzoek; alles wat vanaf een aansluiting op internet wordt gedaan wordt ergens geregistreerd. Deze gegevens kunnen worden gebruikt om schuld of onschuld aan te tonen en zijn dus net zo van belang als documenten en foto's op papier.

In 1989 is bij het NFI een speciale afdeling opgericht met als doel deze informatie en gegevensdragers te verzamelen, uit te lezen, te documenteren en te interpreteren. Deze afdeling is gespecialiseerd in het uitlezen van alle digitale apparatuur, doch soms komt het voor dat ook deze mensen niet in staat zijn om bepaalde gegevens uit te lezen. In dat geval zal desbetreffende fabrikant verzocht worden om het eigen laboratorium ter beschikking te stellen van het onderzoek en de gegevens (zo mogelijk) uit te lezen.

Hardware[bewerken | brontekst bewerken]

De meeste digitale gegevensdragers vallen onder de zogenaamde hardware, een aantal voorbeelden van methoden om gegevens van deze apparatuur af te halen kan men hieronder lezen.

Gewiste gegevensdragers[bewerken | brontekst bewerken]

Om gewiste gegevens terug te halen van digitale gegevensdragers als harde schijven, flashdisks en geheugenkaartjes gaat men een image (kopie) maken van de gegevensdrager. Om de data op de originele gegevensdrager niet aan te tasten wordt er gebruikgemaakt van een writeblocker. Het is een stukje forensische hardware of software waarbij er geen data op het origineel kan worden geschreven.

Het onderzoek vindt daarna plaats op de image middels software zoals onder andere Encase of Forensic Tool Kit. Indien de gegevensdrager dermate defect is, wordt deze uit elkaar gehaald en in een speciale lezer geplaatst. Dit kan met alle gegevensdragers, van flashgeheugen tot de losse schijven uit een harde schijf. Als alle data zijn opgehaald kan men gaan proberen om de bestanden weer 'in elkaar te zetten'. Een gewiste harde schijf is immers nooit leeg, maar er wordt slechts een markering geplaatst dat het deel weer 'vrij' is en weer beschreven kan worden. Door dit bitje te verwijderen, kan alles weer ingelezen worden. Op deze wijze kan een gebruiker thuis ook een per ongeluk gewiste schijf terughalen. Er zijn ook methoden om een schijf grondiger te wissen, echter zelfs dan zijn er nog methoden, afhankelijk van de grondigheid van de wis-sessie, om de gegevens weer terug te halen en te reconstrueren.

Defecte gegevensdragers[bewerken | brontekst bewerken]

Ook in defecte gegevensdragers kan vaak nog veel informatie worden gevonden. De gegevensdrager zelf wordt uit elkaar gehaald en de onderdelen die data kunnen bevatten worden door een speciaal laboratorium op gegevens onderzocht.

Versleutelde gegevensdragers[bewerken | brontekst bewerken]

Versleuteling is tegenwoordig meer regel dan uitzondering en een heleboel mensen en bedrijven maken, al dan niet onbewust, gebruik van een of meerdere vormen van encryptie. Dit kan een simpele vorm van versleuteling zijn, of een geavanceerde RSA-encryptie. Indien de forensisch onderzoekers vermoeden hebben dat er bruikbare informatie in de versleutelde bestanden zit, dan zullen ze de betreffende bestanden moeten decrypten, ofwel ontsleutelen. Hier zijn diverse methodes voor, een bekende vorm is de bruteforcemethode, waarbij er door middel van het uitproberen van alle (!) mogelijke combinaties zal worden getracht de bestanden te ontcijferen. Echter, bruteforce-aanvallen kunnen een paar seconden tot duizenden jaren in beslag nemen, afhankelijk hoe lang het gebruikte wachtwoord is. Met andere woorden: hoe langer het wachtwoord is, hoe moeilijker het wordt om door onderzoekers het versleutelde bestand te ontsleutelen. De (kinderporno)zaak van Robert M. is hier een voorbeeld van. Hij gebruikte een wachtwoord van 30 karakters lang dat theoretisch 6000 jaar had kunnen duren voor het gekraakt zou zijn. Ook had M. flexibele encryptie gebruikt, hij had maar een deel van zijn kinderporno-collectie vrijgegeven aan Justitie.

Digitale criminaliteit[bewerken | brontekst bewerken]

Ook bij het inbreken op bedrijfsnetwerken komt de digitale recherche in actie: zij zal dan proberen uit te zoeken waar de aanval vandaan kwam en of hiertegen actie kan worden ondernomen. De recherche zal proberen om via de provider de logbestanden van de verbinding op te vragen en vervolgens kijken of men uit deze logs de inbreker kan halen. Hoe drukker het netwerk, hoe moeilijker dit wordt. Indien de aanval is geïsoleerd, zal men proberen om de herkomst te traceren en kijken of dit binnen de jurisdictie valt van de politie in Nederland, of dat men met een buitenlandse aanval te maken heeft. Uiteraard staat het slachtoffer ook dan niet machteloos, want voor het internet bestaan bijna geen grenzen, en binnen de westerse landen bestaat er dan ook een gerede kans dat de dader gepakt wordt. Ook fraude met creditcards wordt gezien als digitale criminaliteit, er wordt immers gebruikgemaakt van een digitale kaart of diens gegevens.

Zie ook[bewerken | brontekst bewerken]

• Traceerbaarheid
• Forensische informatica

Externe links[bewerken | brontekst bewerken]

• Nederlands Forensisch Instituut (NFI)
• ICT-Service Centrum Politie, Justitie en Veiligheid (ISC)
• (en) Forensics, Interpol
• Tulp2G - opensourcesoftware voor het uitlezen van mobiele telefoons (ontwikkeld door het NFI)
• (en) Sleuthkit - een opensourceprogramma voor het onderzoeken van een computer