GIAC certified forensic examiner

Member of IFA

Digitaal Forensisch Onderzoek Blog

De 7 W vragen - Wie?

7 w vragenElk onderzoek, ook een digitaal forensisch onderzoek, moet trachten een antwoord te vinden op de 7 W vragen:

1. Wie kan in verband worden gebracht met het misdrijf?

2. Wat is er precies gebeurd?

3. Waar heeft het misdrijf plaatsgevonden en waar zijn sporen achtergebleven?

4. Waarmee is het misdrijf gepleegd?

5. Op welke wijze heeft het misdrijf plaatsgevonden?

6.  Wanneer heeft het misdrijf plaatsgevonden?

7. Waarom heeft het misdrijf plaatsgevonden?

IP-adres <> persoon

Het is niet omdat een onderzoek een IP-adres oplevert, dat we weten wie de dader is. Al ettelijke malen is een verkeerde verdachte opgepakt, bijvoorbeeld doordat iemand misbruik maakt van een open wireless connectie.

De 7 W vragen - wie?

Het sleutelelement van elk onderzoek is natuurlijk WIE er in verband kan gebracht worden met het misdrijf. Bij een digitaal onderzoek is dit net een moeilijk te beantwoorden vraag, vooral omdat er ontzettend veel ruimte is voor een foutieve interpretatie.

De beste bewijsmethode is natuurlijk die waarbij de fysieke aanwezigheid van een persoon kan aangetoond worden. Dit kan gebeuren aan de hand van bewakingsbeelden van de plaats delict of toegangsbeelden op momenten waarop niemand anders in het gebouw aanwezig is, bijvoorbeeld tijdens het weekend. Doordat vele digitale onderzoeken reactief zijn en soms maanden na de feiten worden opgestart, is dit bewijsmateriaal niet altijd voorhanden.

De tweede beste manier is analyse van diverse apparatuur die door een verdachte gebruikt wordt. Dit kan aan de hand van de login-gegevens van de betrokkenen, al dan niet via een Domain Controller. Spijtig genoeg kan hier niet altijd éénduidig een persoon gelinkt worden aan een apparaat.

Daarom dat wij reeds zéér vroeg in de aanvangsfaze van een onderzoek via interviews met de betrokken personen meer proberen te weten te komen. Een klassieke vraag daarbij is of men paswoorden deelde met anderen.

Ook wordt er steeds gekeken naar log-ins op afstand via Remote Desktop Protocol. Een ontzettend belangrijk element tegenwoordig is ook de aan- of afwezigheid van virussen. Vooral RAT's of te wel Remote Access Tools kunnen een heel ander licht op een zaak werpen. Indien we geconfronteerd worden met een systeem dat nog in werking is, een zogenaamd “Live System”, wordt er dan ook altijd een forensische kopie van het interne geheugen genomen. Hieruit kan na onderzoek blijken of een systeem was geínfecteerd, zodat bepaalde personen kunnen vrijgepleit worden.

Trojan horse defence - Some Other Dude Did ItTrojan horse defence

is een verdegingstactiek waarbij de verdachte beweert dat zijn PC geínfecteerd was met een Trojan Horse-virus en dat zij/hij dus niets kan verweten worden. Een forensisch onderzoeker die nalaat om een forensische kopie te nemen van het interne geheugen en/of geen moeite doet om de aan- of afwezigheid van deze virussen vast te stellen, maakt dus een beroepsfout door niet alle elementen, zowel à charge en à décharge, te onderzoeken.

De “Trojan Horse” strategie wordt soms ook “SODDI - Some Other Dude Dit It” genoemd.

Een leuk documentje hierover vind je op http://www.cerias.purdue.edu/news_and_events/events/symposium/2005/materials/pdfs/21F-371.pdf