Samenvatting boek Digital
Forensics
Inhoud
Hoofdstuk 1: Introductie........................................................................................................................2
Hoofdstuk 2: Het digitale forensische proces.........................................................................................4
Hoofdstuk 6: Mobile and embedded forensics.......................................................................................9
Hoofdstuk 5: Computer Forensics........................................................................................................18
Hoofdstuk 7: Internet Forensics...........................................................................................................21
1
,Hoofdstuk 1: Introductie
Verbonden apparaten zijn overal te vinden. Computer netwerken zijn voor veel overheidsinstanties
een van de belangrijkste organen. Het nadeel aan internet is echter dat het niet ontworpen is voor
veiligheid, maar voor robuustheid. Digitaal forensisch onderzoek is erg belangrijk aan het worden
door de escalatie van cybercrime en andere netwerk-gerelateerde, serieuze misdaden. Om de wet-
en regelgeving op het gebied van elektronische communicatie, cybercriminaliteit en het bewaren van
gegevens te begrijpen, moet er voortdurend nieuwe kennis, methoden en hulpmiddelen worden
opgedaan.
Digitaal bewijs is overal en speelt een belangrijke rol in elk misdaadonderzoek, van kleine misdaden
tot aan cybercrime, georganiseerde misdaad en terrorisme. Het is belangrijk om digitaal forensisch
onderzoek te begrijpen, om als experts te kunnen handelen in situaties waarin digitaal
bewijsmateriaal wordt gevonden.
Forensisch onderzoek (forensic science) = de toepassing van wetenschappelijke methoden om
feitelijke antwoorden voor juridische problemen te vinden.
De forensisch onderzoeker is verantwoordelijk voor het vaststellen van feiten gerelateerd aan vragen
zoals: wat is er gebeurd, hoe is het gebeurd, wie was erbij en wanneer is het gebeurd. Dit vaststellen
van feiten wordt gedaan door wetenschappelijke methoden in te zetten.
Principe van Edmond Locard: Every contact leaves a trace als een persoon of object met iets of
iemand in contact komt, vindt er cross-transfer van materialen plaats. Voor digitaal bewijsmateriaal
zit dit net even iets anders, omdat het anders is dan fysiek bewijsmateriaal.
Misdaadreconstructie (crime reconstruction) = de bepaling van de acties en gebeurtenissen rond het
plegen van een misdrijf. Hierbij worden vaak hypothesen opgesteld.
Een misdaadonderzoek is een systematisch onderzoek, waarbij er wordt gezocht naar de
belangrijkste feiten gerelateerd aan het misdrijf of incident veel gebruikte methode: 5WH. 5WH =
wie, wat, waar, wanneer, waarom en hoe.
Bij een misdaadonderzoek speelt bewijsdynamiek een grote rol. Bewijsdynamiek (evidence
dynamics) = 'elke invloed die fysiek bewijs toevoegt, verandert, verplaatst, verdoezelt, besmet of
uitwist, ongeacht de bedoeling'.
Digitaal forensisch onderzoek (digital forensics) = gebruik van wetenschappelijke methoden voor het
bewaren, verzamelen, valideren, identificeren, analyseren, interpreteren, documenteren en
presenteren van digitaal bewijsmateriaal dat is afgeleid van digitale bronnen met het doel de
reconstructie van criminele gebeurtenissen te vergemakkelijken of te bevorderen, of te helpen te
anticiperen op ongeoorloofde acties waarvan is aangetoond dat ze de geplande operaties verstoren.
Network forensics, internet forensics en device forensics zijn speciale gebieden binnen het digitaal
forensisch onderzoek. Digitaal forensisch onderzoek wordt steeds groter, de meeste zaken hebben
een aspect van het digitaal forensisch onderzoek, bijvoorbeeld telefoons, creditcard transacties,
emails, GPS systemen etc. Digitaal bewijsmateriaal is kwetsbaar en kan makkelijk worden
gemanipuleerd van belang om bewijsmateriaal te preserveren door gestandaardiseerde
forensische tools en methoden te gebruiken.
Digital archaeology = digitale sporen in computer systemen die gemaakt zijn door menselijk gedrag.
Digital geology = digitale sporen die gecreëerd zijn door de computersystemen zelf als deel van de
processen. Doel van digitaal forensisch onderzoek is feiten verzamelen van menselijk gedrag, maar
2
,het is een eerste vereiste om te begrijpen hoe de computersystemen zich om digitaal
bewijsmateriaal te kunnen interpreteren.
Digitale misdaad bestaat uit een digitale gebeurtenis of een opeenvolging van gebeurtenissen
locatie van dit incident is de digitale plaats delict. Er wordt met digitaal forensisch onderzoek vooral
gekeken naar post mortem digitale gebeurtenissen, dus dingen die al gebeurd zijn.
Digitaal apparaat (digital device)= fysiek object, wat een of meer opslagmedia bevat (bv. hard drive).
Deze opslagmedia, o.a. harddrive is digitale media (digital media). Deze bestaan uit data, opgeslagen
in binair formaat, wat digitale data (digital data) is. Forensische analisten werken met discrete
collecties van digitale data digitale objecten (digital objects).
Een onderzoek is forensisch verantwoord (forensically sound) als het voldoet aan gevestigde digitale
forensische principes, standaarden en processen. Bewijsintegriteit (evidence integrity) verwijst naar
het bewaren van bewijsmateriaal in zijn oorspronkelijke vorm. Chain of custody verwijst naar de
documentatie van verwerving, controle, analyse en beschikking over fysiek en elektronisch
bewijsmateriaal.
Reconstructie plaats delict maakt gebruik van 5 stappen proces:
1. Bewijsonderzoek / evidence examination
2. Rolclassificatie / role classification (rol van het bewijsmateriaal bepalen)
3. Gebeurtenissen constructie en testen / event construction and testing
4. Gebeurtenisvolgorde / event sequencing
5. Hypothese testen / hypothesis testing
Digitaal bewijs = alle digitale gegevens die betrouwbare informatie bevatten die een hypothese van
een incident of misdrijf kan ondersteunen of weerleggen. Ook streven naar digitaal bewijsmateriaal
op een manier te verwerken en op te slaan consistent met de principes van bewijsintegriteit en chain
of custody.
Abstractielagen = praktijk die in alle computergebieden wordt gebruikt om implementatiedetails van
hogere abstractielagen te verbergen om de complexiteit te verminderen. Een forensisch analist moet
gegevens op alle abstractielagen analyseren en reconstrueren om relevant digitaal bewijsmateriaal te
kunnen extraheren en verklaren.
Metadata is een waardevolle bron van bewijs in digitaal forensisch onderzoek. Metadata = data van
data, omvat informatie over data objecten voorbeeld: digitale foto metadata ervan is tijd van
foto, locatie van foto en gebruikte camera.
Andere aspecten van digitaal bewijsmateriaal die door een forensisch wetenschapper moeten
worden begrepen, zijn fouten, onzekerheid en verlies kan van invloed zijn op de interpretatie van
tijdstempels, geografische locatie en auteurschap of eigendom van gegevens in context van
bewijsdynamiek om digitaal bewijsmateriaal nauwkeurig te interpreteren en te presenteren in een
juridische context.
Online bankfraude is een bekend misdaadpatroon waarbij een groot aantal computers wordt
gecompromitteerd en geïnfecteerd met Trojaanse malware, waardoor hun computers kunnen
worden gecontroleerd en op afstand kunnen worden beheerd. De computers maken deel uit van een
netwerk van geïnfecteerde computers - een botnet.
3
, Hoofdstuk 2: Het digitale forensische proces
Digitaal bewijsmateriaal kan gevonden worden in computers, telefoons, internet systemen, en
andere digitale apparaten. Misdrijven kunnen meer dan één digitaal apparaat met zich meebrengen.
Fysieke misdrijven kunnen niet alleen met digitale services worden gepleegd, maar het kan de
planning of communicatie voor deze misdrijven wel makkelijker maken.
Cybermisdaad is de laatste jaren geëvolueerd en zal dit de komende jaren blijven doen. Er worden
aanvallen gepleegd waardoor digitale netwerken data zullen lekken of er wordt data gestolen.
Omdat het digitale deel zo blijft ontwikkelen, is er een gestructureerd proces nodig zodat digitaal
forensisch onderzoek goed verloopt, want digitaal bewijs is natuurlijk heel anders dan traditioneel
forensisch bewijs. Digitaal bewijs kan overal worden gevonden, bv. in chat sessies, communicatie logs
of andere plekken.
De belangrijkste forensische principes moeten worden nageleefd voor valide bewijsmateriaal. Het
eerste principe is bewijsintegriteit (evidence integrity) bewijs in originele vorm behouden
digitaal is dit moeilijker dan traditioneel, dus wordt er een kopie gemaakt. Ook deze kopie moet de
originele vorm bewaren. Het tweede principe omvat de chain of custody dit houdt in dat alle
handelingen met het bewijs moeten worden gedocumenteerd om de authenticiteit en de integriteit
te behouden. Ook hoort hierin te staan wie de handelingen heeft uitgevoerd.
Elektronisch bewijs (electronic evidence) = elektronisch opgeslagen informatie dat wordt gebruikt als
bewijs bij een rechtszaak.
Pas als een digitaal object relevant is voor het onderzoek, wordt het digitaal bewijs. Digitaal bewijs is
relevant op 2 manieren. 1) ontologische manier (ontological way): iets wat we kunnen zien en
beschrijven. 2) manier van herkenning (way of recognition): wat het kan vertellen over de zaak.
Het digitale forensische proces:
Voordat dit proces wordt doorlopen, komt er eerst een melding, observatie of gebeurtenis naar
voren, wat te maken heeft met het misdrijf. Hierna wordt er een hypothese opgesteld, waarna het
digitale forensische proces in werking wordt gezet.
Identi fi cati e fase (identi fi cati on) Verifi cati e van gebeurtenis, incident of misdaad.
Indentificatie fase = de taak om het te onderzoeken incident of misdrijf op te sporen, te herkennen
en vast te stellen.
Incidenten kunnen worden geïdentificeerd op basis van klachten, waarschuwingen en notificaties
identificatie fase vormt de basis van alle volgende fasen. In deze fase wordt er bijvoorbeeld bepaald
4
Forensics
Inhoud
Hoofdstuk 1: Introductie........................................................................................................................2
Hoofdstuk 2: Het digitale forensische proces.........................................................................................4
Hoofdstuk 6: Mobile and embedded forensics.......................................................................................9
Hoofdstuk 5: Computer Forensics........................................................................................................18
Hoofdstuk 7: Internet Forensics...........................................................................................................21
1
,Hoofdstuk 1: Introductie
Verbonden apparaten zijn overal te vinden. Computer netwerken zijn voor veel overheidsinstanties
een van de belangrijkste organen. Het nadeel aan internet is echter dat het niet ontworpen is voor
veiligheid, maar voor robuustheid. Digitaal forensisch onderzoek is erg belangrijk aan het worden
door de escalatie van cybercrime en andere netwerk-gerelateerde, serieuze misdaden. Om de wet-
en regelgeving op het gebied van elektronische communicatie, cybercriminaliteit en het bewaren van
gegevens te begrijpen, moet er voortdurend nieuwe kennis, methoden en hulpmiddelen worden
opgedaan.
Digitaal bewijs is overal en speelt een belangrijke rol in elk misdaadonderzoek, van kleine misdaden
tot aan cybercrime, georganiseerde misdaad en terrorisme. Het is belangrijk om digitaal forensisch
onderzoek te begrijpen, om als experts te kunnen handelen in situaties waarin digitaal
bewijsmateriaal wordt gevonden.
Forensisch onderzoek (forensic science) = de toepassing van wetenschappelijke methoden om
feitelijke antwoorden voor juridische problemen te vinden.
De forensisch onderzoeker is verantwoordelijk voor het vaststellen van feiten gerelateerd aan vragen
zoals: wat is er gebeurd, hoe is het gebeurd, wie was erbij en wanneer is het gebeurd. Dit vaststellen
van feiten wordt gedaan door wetenschappelijke methoden in te zetten.
Principe van Edmond Locard: Every contact leaves a trace als een persoon of object met iets of
iemand in contact komt, vindt er cross-transfer van materialen plaats. Voor digitaal bewijsmateriaal
zit dit net even iets anders, omdat het anders is dan fysiek bewijsmateriaal.
Misdaadreconstructie (crime reconstruction) = de bepaling van de acties en gebeurtenissen rond het
plegen van een misdrijf. Hierbij worden vaak hypothesen opgesteld.
Een misdaadonderzoek is een systematisch onderzoek, waarbij er wordt gezocht naar de
belangrijkste feiten gerelateerd aan het misdrijf of incident veel gebruikte methode: 5WH. 5WH =
wie, wat, waar, wanneer, waarom en hoe.
Bij een misdaadonderzoek speelt bewijsdynamiek een grote rol. Bewijsdynamiek (evidence
dynamics) = 'elke invloed die fysiek bewijs toevoegt, verandert, verplaatst, verdoezelt, besmet of
uitwist, ongeacht de bedoeling'.
Digitaal forensisch onderzoek (digital forensics) = gebruik van wetenschappelijke methoden voor het
bewaren, verzamelen, valideren, identificeren, analyseren, interpreteren, documenteren en
presenteren van digitaal bewijsmateriaal dat is afgeleid van digitale bronnen met het doel de
reconstructie van criminele gebeurtenissen te vergemakkelijken of te bevorderen, of te helpen te
anticiperen op ongeoorloofde acties waarvan is aangetoond dat ze de geplande operaties verstoren.
Network forensics, internet forensics en device forensics zijn speciale gebieden binnen het digitaal
forensisch onderzoek. Digitaal forensisch onderzoek wordt steeds groter, de meeste zaken hebben
een aspect van het digitaal forensisch onderzoek, bijvoorbeeld telefoons, creditcard transacties,
emails, GPS systemen etc. Digitaal bewijsmateriaal is kwetsbaar en kan makkelijk worden
gemanipuleerd van belang om bewijsmateriaal te preserveren door gestandaardiseerde
forensische tools en methoden te gebruiken.
Digital archaeology = digitale sporen in computer systemen die gemaakt zijn door menselijk gedrag.
Digital geology = digitale sporen die gecreëerd zijn door de computersystemen zelf als deel van de
processen. Doel van digitaal forensisch onderzoek is feiten verzamelen van menselijk gedrag, maar
2
,het is een eerste vereiste om te begrijpen hoe de computersystemen zich om digitaal
bewijsmateriaal te kunnen interpreteren.
Digitale misdaad bestaat uit een digitale gebeurtenis of een opeenvolging van gebeurtenissen
locatie van dit incident is de digitale plaats delict. Er wordt met digitaal forensisch onderzoek vooral
gekeken naar post mortem digitale gebeurtenissen, dus dingen die al gebeurd zijn.
Digitaal apparaat (digital device)= fysiek object, wat een of meer opslagmedia bevat (bv. hard drive).
Deze opslagmedia, o.a. harddrive is digitale media (digital media). Deze bestaan uit data, opgeslagen
in binair formaat, wat digitale data (digital data) is. Forensische analisten werken met discrete
collecties van digitale data digitale objecten (digital objects).
Een onderzoek is forensisch verantwoord (forensically sound) als het voldoet aan gevestigde digitale
forensische principes, standaarden en processen. Bewijsintegriteit (evidence integrity) verwijst naar
het bewaren van bewijsmateriaal in zijn oorspronkelijke vorm. Chain of custody verwijst naar de
documentatie van verwerving, controle, analyse en beschikking over fysiek en elektronisch
bewijsmateriaal.
Reconstructie plaats delict maakt gebruik van 5 stappen proces:
1. Bewijsonderzoek / evidence examination
2. Rolclassificatie / role classification (rol van het bewijsmateriaal bepalen)
3. Gebeurtenissen constructie en testen / event construction and testing
4. Gebeurtenisvolgorde / event sequencing
5. Hypothese testen / hypothesis testing
Digitaal bewijs = alle digitale gegevens die betrouwbare informatie bevatten die een hypothese van
een incident of misdrijf kan ondersteunen of weerleggen. Ook streven naar digitaal bewijsmateriaal
op een manier te verwerken en op te slaan consistent met de principes van bewijsintegriteit en chain
of custody.
Abstractielagen = praktijk die in alle computergebieden wordt gebruikt om implementatiedetails van
hogere abstractielagen te verbergen om de complexiteit te verminderen. Een forensisch analist moet
gegevens op alle abstractielagen analyseren en reconstrueren om relevant digitaal bewijsmateriaal te
kunnen extraheren en verklaren.
Metadata is een waardevolle bron van bewijs in digitaal forensisch onderzoek. Metadata = data van
data, omvat informatie over data objecten voorbeeld: digitale foto metadata ervan is tijd van
foto, locatie van foto en gebruikte camera.
Andere aspecten van digitaal bewijsmateriaal die door een forensisch wetenschapper moeten
worden begrepen, zijn fouten, onzekerheid en verlies kan van invloed zijn op de interpretatie van
tijdstempels, geografische locatie en auteurschap of eigendom van gegevens in context van
bewijsdynamiek om digitaal bewijsmateriaal nauwkeurig te interpreteren en te presenteren in een
juridische context.
Online bankfraude is een bekend misdaadpatroon waarbij een groot aantal computers wordt
gecompromitteerd en geïnfecteerd met Trojaanse malware, waardoor hun computers kunnen
worden gecontroleerd en op afstand kunnen worden beheerd. De computers maken deel uit van een
netwerk van geïnfecteerde computers - een botnet.
3
, Hoofdstuk 2: Het digitale forensische proces
Digitaal bewijsmateriaal kan gevonden worden in computers, telefoons, internet systemen, en
andere digitale apparaten. Misdrijven kunnen meer dan één digitaal apparaat met zich meebrengen.
Fysieke misdrijven kunnen niet alleen met digitale services worden gepleegd, maar het kan de
planning of communicatie voor deze misdrijven wel makkelijker maken.
Cybermisdaad is de laatste jaren geëvolueerd en zal dit de komende jaren blijven doen. Er worden
aanvallen gepleegd waardoor digitale netwerken data zullen lekken of er wordt data gestolen.
Omdat het digitale deel zo blijft ontwikkelen, is er een gestructureerd proces nodig zodat digitaal
forensisch onderzoek goed verloopt, want digitaal bewijs is natuurlijk heel anders dan traditioneel
forensisch bewijs. Digitaal bewijs kan overal worden gevonden, bv. in chat sessies, communicatie logs
of andere plekken.
De belangrijkste forensische principes moeten worden nageleefd voor valide bewijsmateriaal. Het
eerste principe is bewijsintegriteit (evidence integrity) bewijs in originele vorm behouden
digitaal is dit moeilijker dan traditioneel, dus wordt er een kopie gemaakt. Ook deze kopie moet de
originele vorm bewaren. Het tweede principe omvat de chain of custody dit houdt in dat alle
handelingen met het bewijs moeten worden gedocumenteerd om de authenticiteit en de integriteit
te behouden. Ook hoort hierin te staan wie de handelingen heeft uitgevoerd.
Elektronisch bewijs (electronic evidence) = elektronisch opgeslagen informatie dat wordt gebruikt als
bewijs bij een rechtszaak.
Pas als een digitaal object relevant is voor het onderzoek, wordt het digitaal bewijs. Digitaal bewijs is
relevant op 2 manieren. 1) ontologische manier (ontological way): iets wat we kunnen zien en
beschrijven. 2) manier van herkenning (way of recognition): wat het kan vertellen over de zaak.
Het digitale forensische proces:
Voordat dit proces wordt doorlopen, komt er eerst een melding, observatie of gebeurtenis naar
voren, wat te maken heeft met het misdrijf. Hierna wordt er een hypothese opgesteld, waarna het
digitale forensische proces in werking wordt gezet.
Identi fi cati e fase (identi fi cati on) Verifi cati e van gebeurtenis, incident of misdaad.
Indentificatie fase = de taak om het te onderzoeken incident of misdrijf op te sporen, te herkennen
en vast te stellen.
Incidenten kunnen worden geïdentificeerd op basis van klachten, waarschuwingen en notificaties
identificatie fase vormt de basis van alle volgende fasen. In deze fase wordt er bijvoorbeeld bepaald
4
