Forensische Software: Alles Dat Je Moet Weten Over Forensische Informatica
Als je de woorden “digitaal forensisch onderzoek” of “forensische informatica” hoort denk je meteen aan een schimmig figuur met een zonnebril. Maar is dit wel een goed beeld van wat digitaal forensisch onderzoek inhoudt? Nee dus, en dat zal je lezen in dit artikel.
Ook al gebruikt een forensisch informatica deskundige dezelfde hulpmiddelen als zijn illegale tegenhanger, de essentie van digitaal forensisch onderzoek is dataherstel en-behoud. Als je ooit gebruik hebt gemaakt van een dataherstelprogramma, zoals Disk Drill, om verloren bestanden terug te halen uit je computer, heb je al een idee van één onderdeel van de forensische informatica en het leven van een digitaal forensisch rechercheur. In dit artikel leren we je de rest.
Definitie forensische informatica
Techopedia definieert forensische informatica als “het proces van het blootleggen en interpreteren van elektronische gegevens”. Het hoofddoel van dit proces is “het behoud van al het bewijs in zijn meest originele vorm, tijdens de uitvoering van een gestructureerd onderzoek door de digitale informatie te identificeren en valideren met als doel het opnieuw construeren van eerdere gebeurtenissen”.
Met andere woorden: forensische informatica is een tak van de ouderwetse forensische wetenschap zoals je die kent uit oude detective series. Je bent bekend met het concept: er is een vreselijke moord gepleegd. Politieagenten komen ter plaatse waar de hoofdrechercheur, met zijn Ford Galaxie 500, de leiding heeft. Zodra ze uit hun auto’s stappen roept er al iemand: “Raak niets aan! We hebben al het bewijs nodig dat we kunnen vinden”.
Vroeger bestond dit bewijs vaak uit een dagboek of een vingerafdruk op een waterglas. Tegenwoordig gaat het om digitale metadata, logbestanden, IP-adressen en de rest van de reeksen nullen en eentjes. De eerste digitale misdrijven dateren van eind jaren ’70 en begin jaren ’80. In die tijd was nog maar een klein groepje nerds en innoveerders bezig met computerbeveiliging.
In 1978 kwam een gigantisch omslagpunt met de 1978 Florida Computer Crimes Act, waarin de eerste cybercriminaliteit in de Verenigde Staten erkend werd en welke de wetgeving bevatte tegen niet geautoriseerd verwijderen of bewerken van computergegevens. Andere aktes, zoals de US Federal Computer Fraud and Abuse Act uit 1986 en de British Computer Misuse Act uit 1990, volgden snel daarna.
Voor de aanvang van het nieuwe millennium ging de discussie er nog voornamelijk over of cybercriminaliteit gezien moest worden als een bedreiging voor de persoonlijke, organisatorische en nationale veiligheid. Vanaf 2000 rees er een nieuwe behoefte aan standaardisering dat leidde tot de productie van “Best practices for Computer Forensics” en de publicatie van ISO 17025 door de Scientific Working Group on Digital Evidence (SWGDE).
Deze standaarden en richtlijnen hielpen bij het opstellen van een routine voor digitaal forensisch specialisten en spoorde forensische informaticabedrijven aan om geschikte forensische dataherstelsoftware oplossingen te bieden welke in staat waren aan de complexe vraag te voldoen van de moderne tijd.
Een typisch forensisch proces bestaat uit verschillende stadia: de inbeslagname, forensische overname, analyse en het samenstellen van een rapport gebaseerd op de verzamelde gegevens. Voor elk stadium bestaat er specifieke gratis forensische software evenals betaalde software. Verderop in dit artikel kun je een lijst vinden van digitale forensische tools.
Subbranches van Forensische Informatica
Forensische informaticaspecialisten hebben te maken met de private of de openbare sector. In de openbare sector bestaat hun werk meestal uit ondersteunen of weerleggen van een hypothese in het strafrecht of burgerlijk recht. Forensisch rechercheurs in de private sector doen bedrijfsonderzoek en inbraakonderzoek.
Nu de complexiteit van de moderne technologie toeneemt, richten forensische informaticaspecialisten zich vaak op één of een aantal subbranches van digitaal forensisch onderzoek om kennis te verwerven op het hoogst mogelijke niveau. Digitaal forensisch onderzoek is over het algemeen verdeeld naar aanleiding van de betrokken apparatuur. De grootste afdelingen zijn: forensische informatica, mobiele apparatuur forensisch onderzoek, forensische data-analyse en database forensisch onderzoek.
De branch die de afgelopen jaar het meest gegroeid is is het mobiele apparatuur forensisch onderzoek. Nu mensen laptops en computers steeds meer vervangen door smartphones en tablets stijgt de behoefte aan forensische software voor mobiele apparaten voor forensisch dataherstel van deze apparaten sterk.
Forensische Informatica Tools en Uitrusting
Om een aantal van de vele forensische informatica tools te kunnen beschrijven die gebruikt worden door digitaal forensisch onderzoekers en specialisten, gebruiken we een voorbeeld waarbij er kinderporno aangetroffen is op een PC. Meestal zullen de onderzoekers eerst de HDD verwijderen van de PC en aansluiten op een hardware schrijfblokkeersysteem. Dit systeem zorgt ervoor dat het onmogelijk wordt om de inhoud van de HDD op enige manier te wijzigen terwijl de onderzoekers de inhoud van de schijf wel kunnen bekijken.
PROTEGGA GEBRUIKT DE MEEST MODERNE FORMATISCHE HULPMIDDELEN VOOR COMPUTERCOMPUTERS
Er kan een bit-accurate kopie van de harde schijf gemaakt worden met verschillende gespecialiseerde tools. Er zijn grote digitaal forensische frameworks en softwareoplossingen en daarnaast ontelbare kleinere hulpmiddelen verkrijgbaar. Tot de eerste groep behoren: Digital Forensics Framework, Open Computer Forensics Architecture, CAINE (Computer Aided Investigative Environment), X-Ways Forensics, SANS Investigative Forensics Toolkit (SIFT), EnCase, The Sleuth Kit, Llibforensics, Volatility, The Coroner’s Toolkit, Oxygen Forensic Suite, Computer Online Forensic Evidence Extractor (COFEE), HELIX3 en Cellebrite UFED.
Deze grote softwareoplossingen en forensische programma’s bevatten een groot aanbod van forensische datadiensten in één pakket. Veel professionele forensisch specialisten geven er echter de voorkeur aan om hun eigen gepersonaliseerde toolbox te maken van individuele tools en hulpmiddelen welke precies aangepast is op hun eigen behoeften en voorkeuren. Voor elke stadium van het forensisch dataherstelproces zijn de opties eindeloos, waaronder harde schijf forensisch onderzoek en bestandssysteem forensische analyse.
EnCase Forensic Imager, FTK Imager, Live RAM Capturer en Disk2vhd van Microsoft kunnen helpen bij gegevensvastlegging. Emails kun je analyseren met tools als EDB Viewer, Mail Viewer en MBOX Viewer. Sommige tools zijn specifiek gemaakt voor bepaalde besturingssystemen terwijl anderen meerdere platforms ondersteunen. Populaire tools voor Mac OS X zijn: Disk Arbitrator, Volafox en ChainBreaker, welke keychaainstructuren analyseren en gebruikersinformatie inwinnen. Het is wel duidelijk dat geen enkele forensisch analist zonder een behoorlijk assortiment van intermetanalyse tools kan, waaronder Dumpzilla van Busindre, Chrome Session Parser, IEPassView, OperaPassView en Web Page Saver van Magnet Forensics.
Features van Professionele Forensische Tools
Features van professionele forensische tools variëren sterk, afhankelijk van op welk aspect van de forensische analyse ze zich richten en op welke markt ze gefocust zijn. Over het algemeen dienen grote forensische softwareprogrammapakketten het volgende te kunnen:
- Hashing ondersteunen van alle bestanden waardoor vergelijkende filtering mogelijk is
- Hashing van de volledige schijf om te kunnen bevestigen dat de data niet veranderd is (er wordt meestal een tool gebruikt om om de disk hash te verkrijgen en een andere om deze te bevestigen)
- Precieze pathway localisatoren
- Duidelijke tijd en datum stamps
- Ze dienen een verwerving feature te bevatten
- Zoeken en filteren van items
- De mogelijkheid om iOS backups te laden en de data ervan te analyseren
In vergelijking met de politie, hebben bedrijven meestal niet veel te maken met tijdelijke RAM captures. Ze willen bewijs verzamelen voor privaat onderzoek en/of overdracht aan de politie. Ze zijn meestal niet zo geïnteresseerd in de preview mogelijkheden.
Grote Forensische Software Providers
Het forensisch software analyse vakgebied zit vol met vooruitdenkende innovatoren en productieve, bestaande softwarebedrijven die klaar zijn om uit te breiden. Grote forensische software providers verschijnen vaak op grote vakgebied evenementen, zoals de High Tech Crime Investigation Association Conference, maar er zijn meer van dit soort conferenties in Noord Amerika.
Laten we gaan kijken naar de meest productieve forensische software providers en hun producten.
BlackBag Technologies https://www.blackbagtech.com
BlackLight van BlackBag is de meest vooraanstaande Mac Forensische Tool op de Markt op dit moment en kost ongeveer $2600. BlackLight is 5 jaar geleden opgericht met de ontwikkeling van een Mac specifieke forensische tool. Deze tool is nu ook geschikt gemaakt voor Windows. Het analyseert alle iOS apparaten en Android apparaten. Het is echter niet in staat om BlackBerry’s te analyseren. Een ding dat BlackLight niet zelf doet is de forensische acquisitie van bit voor bit clones. Hiervoor hebben ze een extra tool: MacQuisition.
MacQuisition runt een gestripte versie van iOS en kost meer dan $1000, vanwege de licentie aan Apple. Het is erg goed in het ontdekken van encryptie en kan fusion drives samenbrengen in één volume.
AccessData http://accessdata.com
AccessData is de vooraanstaande provider van E-Discovery, Computer en Mobiele Apparaat Forensisch Onderzoek voor bedrijven, advocatenkantoren en overheidsinstellingen. Hun digitale forensisch onderzoek oplossingen bevatten Forensic ToolKit (FTK), die uitgebreide verwerking en indexering vooraf biedt, waardoor zoeken en filteren sneller gaat dan met elk ander programma op de markt.
Het bedrijf staat bekend om de mobiele forensisch onderzoek tools, waaronder Mobile Phone Examiner Plus (MPE+) en nFIELD. Met de eerstgenoemde kunnen mobiele forensisch onderzoekers de belangrijkste gegevens snel verzamelen, makkelijk identificeren en effectief verkrijgen, waar dit bij andere programma’s niet zo is. De laatste is een snel programma waarmee gebruikers logische en fysieke acquisities kunnen uitvoeren van alle MPE+ ondersteunde mobiele apparaten in maar 5 stappen.
Guidance Software https://www.guidancesoftware.com
Guidance Software, opgericht in 1997, heeft EnCase Forensische Software ontwikkeld, een PC specifieke tool waar forensisch onderzoekers al meer dan tien jaar hoofdzakelijk mee werken. De tool haalde in 2002 het nieuws toen het gebruikt werd in de moordzaak van David Westerfield om zijn computers te doorzoeken naar bewijs van kinderporno en toen de Franse politie EnCase gebruikte om precaire emails te ontdekken van Richard Colvin Reid, ook wel bekend onder de naam de Shoe Bomber.
EnCase Forensic Software is geschikt voor onder andere acquisities, hard drive herstel (bit voor bit cloning en maken van een cloned HDD), voltooien van een uitgebreid disklevel onderzoek en uitgebreid rapporteren.
Magnet Forensics https://www.magnetforensics.com
Magnet Forensics is ontwikkeld door een voormalig politieagent en programmeur en is een volledig digitaal onderzoeksplatform dat gebruikt wordt door meer dan 3.000 bureaus en organisaties van over de hele wereld. Oorspronkelijk begon het als een Internet specifieke carving tool, maar het is nu uitgegroeid tot een volwaardig forensisch onderzoek programmapakket. Magnet Forensics is in staat waar mogelijk fysieke data acquisities van telefoons te maken (met name Android en iPhone 4 en lager en BlackBerry). Deze fysieke acquisities kunnen vervolgens geladen worden in tools zoals Cellebrite.
X-Ways https://www.x-ways.net
X-Ways is een relatieve nieuwkomer in het forensisch onderzoek, maar het bedrijf wint snel aan populariteit dankzij zijn innoveringssnelheid. Het is ontwikkeld door een team van Duitse Ingenieurs en werkt geweldig als het gaat om disk imaging, disk cloning, virtuele RAID reconstructie, remote network drive analyse, remote RAM toegang, cloudopslag toegang en meer. Het nadeel is dat je de nodige ervaring moet hebben om het te kunnen gebruiken.
Cellebrite http://www.cellebrite.com
Cellebrite Mobile Synchronization is een dochteronderneming van de Japanse Sun Corporation en is een Israelisch bedrijf dat gezien wordt als de leider in mobiele forensisch onderzoek software. Hun eerste mobiele tool heeft een prijskaartje van $12.000 en een jaarlijkse licentie van ongeveer $4000. Voor deze hoge prijs krijg je de beste service die een diep inzicht biedt in mobiele apparaten met behulp van Cellebrites Verenigde Digitale Forensisch Onderzoek Platform.
CERT
CERT staat voor computer emergency response teams. De organisatie is in 2003 opgericht in de Verenigde Staten om de Internet infrastructuur van het land te beschermen tegen cyberaanvallen. Ze hebben verschillende tools ontwikkeld die door de politie gebruikt zijn, waaronder CERT Triage Tools. Triage Tools worden gebruikt om RAM vast te leggen en acquisities ter plekke te maken. Het product bevat ook een GNU Debugger extensie genaamd “exploitable” die in staat is Linux application bugs te identificeren op hoe ernstig ze zijn. Op dit moment valt CERT Triage Tools onder GitHub.
Disk Drills Aandeel in Forensisch Dataherstel
Disk Drill is een goed werkende dataherstel tool welke met succes gebruikt wordt door mensen van over de hele wereld voor het herstellen van documenten, afbeeldingen, videobestanden en andere data van verschillende apparaten.
CleverFiles, het bedrijf achter Disk Drill, werkt momenteel aan een nieuwe versie van de software; een versie met een assortiment van handige forensische hulpmiddelen. Van deze nieuwe speler op de forensische markt wordt verwacht dat het zijn kenmerkende gebruikerservaring meebrengt welke gekenmerkt wordt door het hoge gebruikersinterface niveau en opvallend gebruiksgemak.
