Contenu connexe
Plus de Ghent University (20)
Digitaal forensis onderzoek v.2.2
- 1. Digitaal Forensisch Onderzoek
- ICT en geschillen
Prof. Dr. ir Jan Devos
Universiteit Gent, Campus Kortrijk
Graaf Karel De Goedelaan 5
BE-8500 KORTRIJK - BELGIUM
T: +32 56 24 12 72
e-mail: jang.devos@ugent.be
linkedIn: www.linkedin.com/in/jangdevos
Blog: jangdevos.wordpress.org
twitter: @jangdevos
pag. 1© Jan Devos
- 3. Forensisch bewijs
- Materieel of immaterieel (digitaal)
- Ontstaan, opnemen, analyse, interpretatie en
presentatie
- Sluitend (verbinding tussen dader en feiten)
pag. 3© Jan Devos
- 5. Forensisch bewijs
pag. 5© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
Wetenschappelijk (hypothesetoetsing)
Klasseneigenschappen (bv. eigen aan fabricage)
Accidentele eigenschappen (bv. gebruik/misbruik)
Vergelijkend onderzoek
Juridisch geaccepteerde kwaliteitsnorm
- 6. Forensisch bewijs
pag. 6© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
Juridisch geaccepteerde kwaliteitsnorm: Daubert-criteria (Angelsaksisch)
Testbare methode en reproduceerbare resultaten
Methode onderworpen aan ‘peer review’ (methode gepubliceerd
in een wetenschappelijk tijdschrift (A1)
Foutenmarge van de methode is gekend
Methode is gebaseerd op algemeen aanvaarde wetenschappelijke
theorie
- 7. Forensisch bewijs
pag. 7© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
Per definitie ‘subjectief’
Neutrale deskundige ‘interpreteert’ de objectieve onderzoeksresultaten
Ononderscheidbaar, maar geen twee objecten zijn identiek
Volledige overeenkomst (“match”), wanneer er geen onverklaarbare,
forensisch significante verschillen kunnen gevonden worden
Resultaten kunnen kwalitatief of kwantitatief (mathematisch)
worden uitgedrukt, volgens de bewijskracht
- 10. Forensisch bewijs
pag. 10© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
Kwalitatief
100% “match” / “uitgesloten”
Aan zekerheid grenzende
waarschijnlijkheid
Mogelijk
Waarschijnlijk
Zeer waarschijnlijk
- 11. Forensisch bewijs: voorbeeld
pag. 11© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
de vingerafdruk bij het forensisch onderzoek
waar klassieke inktafdrukken van vingers genomen worden en vervolgens
vergeleken worden met aangetroffen sporen.
De FBI beheert de grootste databank met vingerafdrukken (IAFIS) met meer dan
400 miljoen vingerafdrukken.
De FBI beweert nog nooit twee gelijke vingerafdrukken te zijn tegenkomen.
- 13. Forensisch bewijs
pag. 13© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
Kwantitatief: Regel van Bayes (voorwaardelijk kans)
Opletten! De ‘birthday paradox’
Wat is de kans dat in een groep van 30 mensen er 2 mensen dezelfde
verjaardag hebben? (antwoord: 70%)
Algemeen:
Uniforme verdeling van 0 → N-1, kans op een dubbel > 0,5 na √N pogingen
- 14. Forensisch bewijs – Opletten met RvB !
pag. 14© Jan Devos
Een machine heeft een nauwkeurigheid van 99%.
- In 99% van de gevallen wordt een verkeerd stuk
gedetecteerd en geeft de machine een alarm.
- In 99% van de gevallen wordt een juist stuk gedetecteerd
en geeft de machine geen alarm.
- Het voorkomen van verkeerde stukken wordt geraamd op
1/10000 (0,01%)
Wat is de kans op een vals alarm?
- 15. Forensisch bewijs – Opletten met RvB !
pag. 15© Jan Devos
E1 = verkeerd stuk P(E1) = 0.0001
E2 = correct stuk P(E2) = 0.9999
A = alarm P(A|E1)=0.99
P(A|E2)=0.01
P(E2|A) = P(Correct stuk | Alarm)
99,0
)9999.0)(01.0()0001.0)(99.0(
)9999.0)(01.0(
)()|()()|(
)()|(
)|(
2211
22
2
EPEAPEPEAP
EPEAP
AEP
- 16. Forensisch bewijs – Opletten met RvB !
pag. 16© Jan Devos
Base-Rate Fallacy:
Het is moeilijk om een hoge graad van
nauwkeurigheid inzake detectie te bereiken met
een lage graad van valse alarmen, als het
werkelijke aantal verkeerde stukken laag is in
verhouding tot het totaal aantal stukken.
- 17. Forensisch bewijs
pag. 17© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
In België: schriftelijke verslag
Feiten (objectieve vaststellingen)
Interpretatie (‘expert opinion’)
Verstaanbare taal
- 20. Digitaal (forensisch) bewijs
- Immaterieel, behoudens de drager
- Zie vorige (gewoon forensisch bewijs)
- Voorbeelden: documenten, beelden (stilstaande,
bewegende), …bestanden, …
- Veel sporen maar ook veel contaminatie
pag. 20© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
- 21. Digitaal (forensisch) bewijs: ontstaan
Gegevens: altijd een reeks bits (1 of 0) en slechts materieel
op een drager (geheugen)
Een elektronisch bestand (computerbestand), kortweg
bestand (Engels: file) is een geordende verzameling van
gegevens in elektronische vorm, die door het elektronische
apparaat (computer, smartphone en dergelijke) onder één
naam kan worden behandeld en aangesproken.
pag. 21© Jan Devos
- 22. Digitaal (forensisch) bewijs: ontstaan
Apparatuur en Software nodig om bestanden te maken
Computers (PC’s, servers, …), Smartphones,
Fototoestellen,…
Ingebedde en niet ingebedde systemen
(computergestuurde machines)
Software: applicatiesoftware of systeemsoftware
Software wordt ook gematerialiseerd via (een)(vele)
bestand(en)
pag. 22© Jan Devos
- 23. Digitaal (forensisch) bewijs: ontstaan
Elk computerbestand bestaat principieel uit twee delen
- De eigenlijke gegevens (payload)
- De meta-gegevens, de gegevens over de gegevens nodig
voor de apparatuur en software om de eigenlijke gegevens
of payload te kunnen interpreteren en bewerken
- De gegevens en de meta-gegevens maken beiden deel uit
van het computerbestand
- De koppeling tussen beiden kan sterk of zwak zijn
pag. 23© Jan Devos
- 25. Digitaal (forensisch) bewijs: ontstaan
pag. 25© Jan Devos
Meta-gegevens
Gegevens
Document (brief)
Naam van de brief, auteur,
creatiedatum, datum van
laatste aanpassing, aantal
tekens, aantal woorden,…
- 28. - Aanhouding van Dennis Rader (BTK –
serial killer)
pag. 28© Jan Devos
Digitaal (forensisch) bewijs: ontstaan
- 30. Digitaal (forensisch) bewijs: opnemen
Opnemen van digitaal bewijs is het kopiëren van een
bestand van de plaats waar het oorspronkelijk opgeslagen
is
Niet zomaar kopiëren!
Tijdens het kopiëren kan het bestand al gecontamineerd
worden. (vgl. met het wegnemen van DNA)
Zelfs het ‘bekijken’ (openen) van een bestand kan al
contaminatie geven. Bv. Word-document
pag. 30© Jan Devos
- 41. Gegevens bewust of onbewust verwijderen
- ‘Delete’ – bestand (voor magnetische schijven)
meestal enkel een verwijzing in de index die weg genomen
wordt. De payload en de metagegevens blijven gestockeerd
- ‘Wipe’, ‘Erase’, …. – bestand (degaussing)
Door een ad random patroon van 1’en en 0’len te stockeren
over de payload en de metagegevens
- ‘Remanent Magnetization’
Volledige demagnetiseren is meestal niet mogelijk agv.
magnetische hysterese
pag. 41© Jan Devos
- 44. Digitaal (forensisch) bewijs: opnemen
“Digital Evidence Bag”
Authentiek (authentication): ‘echtheid’
Integriteit (integrity): geen contaminatie
Beheer van de toegang (access control):
Niet-weerlegbaar (non-repudiation)
Toewijsbaar (accountable)
pag. 44© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
- 45. Digitaal (forensisch) bewijs: opnemen
Hoe contaminatie vermijden?
Image-kopie maken
Kopiëren naar een WORM-medium
Versleutelen (encryptie)
Hashing
Forensische bestandsformaten
pag. 45© Jan Devos
- 47. Digitaal (forensisch) bewijs: opnemen
Image-kopie van het geheugenmedium (schijf)
- Meestal volledige en beste methode
- Ideaal voor softwarebestanden
- Gericht op harde (magnetische) schijven
- Nadeel: omvangrijke volumes
- Gespecialiseerde apparatuur en software nodig
- Wat met ingebedde systemen?
pag. 47© Jan Devos
- 49. Digitaal (forensisch) bewijs: opnemen
Kopiëren naar een WORM-medium
- Goedkope en vlotte methode
- Geen gespecialiseerde apparatuur nodig
- Geschikt voor kleinere volumes aan gegevens
(een aantal foto’s, documenten, …)
- Niet geschikt voor omvangrijke volumes
pag. 49© Jan Devos
- 56. Digitaal (forensisch) bewijs: opnemen
Hashing
- Sneller dan versleutelen
- Grote bestanden, resulteren altijd in een korte hash
- Strikt genomen niet veilig
- Birthday Paradox aanvallen
Stel een H-functie met 2m mogelijk outputs en een hash H(x)
(m is aantal bits van de hashcode)
Wanneer H wordt toegepast op k verschillende inputs, hoe groot moet k zijn
zodat de kans dat er minstens één input y is waarvoor geldt: H(y)=H(x) ?
Antwoord: k = 2m/2
pag. 56© Jan Devos
- 57. Digitaal (forensisch) bewijs: opnemen
Hashing: Birthday Paradox aanvallen
Deskundige A maakt een m-bit hash van zijn boodschap
Aanvaller maakt 2m/2 variaties van de boodschap
Aanvaller maakt 2m/2 variaties van de frauduleuze boodschap
De tweede verzamelingen boodschappen worden vergeleken en er wordt
gezocht naar een paar met dezelfde hash
De kans dat dit zich voordoet is groter dan 0,5 (birthday paradox)
Is er geen match dan moeten er meer variaties opgesteld worden
Is er een match dan kan de aanvaller de frauduleuze boodschap versturen met
de oorspronkelijk hash van A en de ontvanger om de tuin leiden.
pag. 57© Jan Devos
- 58. Digitaal (forensisch) bewijs: opnemen
Hashing: Birthday Paradox aanvallen
Voorbeeld van 29 variaties van een boodschap (één zin).
{This letter is / I am writing} to introduce {you to / to you} {Mr. / --} Alfred {P./--}
Barton, the {new / newly appointed} {chief / senior} jewellery buyer for
{our/the} Northern {European/Europe} {area/division}.
Nog eenvoudiger is het toevoegen van een aantal
<Space> <Space> <Backspace>
tussen woorden en zinnen in het oorspronkelijke en vervangen door:
<Space> <Backspace><Space>
pag. 58© Jan Devos
- 59. Digitaal (forensisch) bewijs: opnemen
Een aantal specifieke problemen met opnemen van
softwarebestanden
- Hoe wordt software gemaakt (praktisch)?
- Huiseigen software
- ADE’s
- Praktische richtlijnen
pag. 59© Jan Devos
- 61. Hoe wordt software gemaakt ?
pag. 61© Jan Devos
- Hoe groot is de broncode? (aantal bestanden)
- Hoe groot is de object/exe code?
- Is de relatie tussen broncode en objectcode eenduidig?
- Huiseigen software: moeilijke toegang tot broncode
- ADE: ook huiseigen en vaak zeer complex
(vb. Microsoft DOT.net omgeving)
- Hulp van specialist (betrokken partij) is bijna altijd vereist
- 67. Digitaal (forensisch) bewijs
Analyse en Interpretatie: IT Forensisch Deskundige !
Problemen:
• Nauwelijks proactieve aandacht (bv. audits, forensische
bestandsformaten)
• Te kort aan aangepaste opleiding
• Geen standaardisatie en te weinig ‘open’ systemen
• Te kort aan certificatie zowel van personeel als aangepaste
apparatuur (bv. forensisch werkstation)
pag. 67© Jan Devos
Ontstaan Opnemen Analyse Interpretatie Presentatie
- 68. Bronnen
ACPO, Good Practice Guide for Computer Based Electronic Evidence, Association of Police Officers, UK, 2003
Casey, E. (2002), Error, Uncertainty, and Loss in Digital Evidence, International Journal of Digital Evidence,
Summer 2002, Vol. 1, Nr. 2.
Ceresini, T. (2001) Maintaining the Forensic Viability of Logfiles, SANS Institute 2000-2002
Duerr, T.E., Beser, N.D. & Staisiunas, G.P., (2004) Information Assurance Applied to Authentication of Digital
Evidence, Forensic Science Communications, October 2004, Vol. 6, Nr. 4.
Ford, G. T, (2005) The Impact of the Daubert Decision on Survey, Research Used in Litigation, 2005, American
Marketing Association, Vol. 24 (2) Fall 2005, 234–252.
Kerr, O.S., (2004) Digital Evidence and the New Criminal Procedure, Essay, Columbian Law Review, Vol. 105:279.
Seward, J., (2004) Go to the Last Byte, Commercial Law Bulletin, March/April 2004.
Stallings, W., & Brown, L. (2012) Computer Security, Principles and Practice, second edition, 810p., ISBN 978-0-
13-277506-9
Van de Voorde, W., Goethals, J., Nieuwdorp M. (Ed.), (2003) Multidisciplinair forensisch onderzoek (Deel I & II),
Uitgeverij Politheia, Brussel.
pag. 68© Jan Devos