SlideShare une entreprise Scribd logo

Digitaal forensis onderzoek v.2.2

Ghent University
Ghent University
Technologie
1  sur  69
Télécharger pour lire hors ligne
Digitaal Forensisch Onderzoek - ICT en geschillen Prof. Dr. ir Jan Devos Universiteit Gent, Campus Kortrijk Graaf Karel De Goedelaan 5 BE-8500 KORTRIJK - BELGIUM T: +32 56 24 12 72 e-mail: jang.devos@ugent.be linkedIn: www.linkedin.com/in/jangdevos Blog: jangdevos.wordpress.org twitter: @jangdevos pag. 1© Jan Devos
Forum / Forensis pag. 2
Forensisch bewijs - Materieel of immaterieel (digitaal) - Ontstaan, opnemen, analyse, interpretatie en presentatie - Sluitend (verbinding tussen dader en feiten) pag. 3© Jan Devos
Forensisch bewijs pag. 4© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie “primum nihil nocere”
Forensisch bewijs pag. 5© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  Wetenschappelijk (hypothesetoetsing)  Klasseneigenschappen (bv. eigen aan fabricage)  Accidentele eigenschappen (bv. gebruik/misbruik)  Vergelijkend onderzoek  Juridisch geaccepteerde kwaliteitsnorm
Forensisch bewijs pag. 6© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Juridisch geaccepteerde kwaliteitsnorm: Daubert-criteria (Angelsaksisch)  Testbare methode en reproduceerbare resultaten  Methode onderworpen aan ‘peer review’ (methode gepubliceerd in een wetenschappelijk tijdschrift (A1)  Foutenmarge van de methode is gekend  Methode is gebaseerd op algemeen aanvaarde wetenschappelijke theorie
Forensisch bewijs pag. 7© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  Per definitie ‘subjectief’  Neutrale deskundige ‘interpreteert’ de objectieve onderzoeksresultaten  Ononderscheidbaar, maar geen twee objecten zijn identiek  Volledige overeenkomst (“match”), wanneer er geen onverklaarbare, forensisch significante verschillen kunnen gevonden worden  Resultaten kunnen kwalitatief of kwantitatief (mathematisch) worden uitgedrukt, volgens de bewijskracht
Forensisch bewijs pag. 8© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Forensisch bewijs pag. 9© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Forensisch bewijs pag. 10© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Kwalitatief  100% “match” / “uitgesloten”  Aan zekerheid grenzende waarschijnlijkheid  Mogelijk  Waarschijnlijk  Zeer waarschijnlijk
Forensisch bewijs: voorbeeld pag. 11© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie de vingerafdruk bij het forensisch onderzoek waar klassieke inktafdrukken van vingers genomen worden en vervolgens vergeleken worden met aangetroffen sporen. De FBI beheert de grootste databank met vingerafdrukken (IAFIS) met meer dan 400 miljoen vingerafdrukken. De FBI beweert nog nooit twee gelijke vingerafdrukken te zijn tegenkomen.
Forensisch bewijs: voorbeeld pag. 12© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Forensisch bewijs pag. 13© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Kwantitatief: Regel van Bayes (voorwaardelijk kans) Opletten! De ‘birthday paradox’ Wat is de kans dat in een groep van 30 mensen er 2 mensen dezelfde verjaardag hebben? (antwoord: 70%) Algemeen: Uniforme verdeling van 0 → N-1, kans op een dubbel > 0,5 na √N pogingen
Forensisch bewijs – Opletten met RvB ! pag. 14© Jan Devos Een machine heeft een nauwkeurigheid van 99%. - In 99% van de gevallen wordt een verkeerd stuk gedetecteerd en geeft de machine een alarm. - In 99% van de gevallen wordt een juist stuk gedetecteerd en geeft de machine geen alarm. - Het voorkomen van verkeerde stukken wordt geraamd op 1/10000 (0,01%) Wat is de kans op een vals alarm?
Forensisch bewijs – Opletten met RvB ! pag. 15© Jan Devos E1 = verkeerd stuk P(E1) = 0.0001 E2 = correct stuk P(E2) = 0.9999 A = alarm P(A|E1)=0.99 P(A|E2)=0.01 P(E2|A) = P(Correct stuk | Alarm) 99,0 )9999.0)(01.0()0001.0)(99.0( )9999.0)(01.0( )()|()()|( )()|( )|( 2211 22 2       EPEAPEPEAP EPEAP AEP
Forensisch bewijs – Opletten met RvB ! pag. 16© Jan Devos Base-Rate Fallacy: Het is moeilijk om een hoge graad van nauwkeurigheid inzake detectie te bereiken met een lage graad van valse alarmen, als het werkelijke aantal verkeerde stukken laag is in verhouding tot het totaal aantal stukken.
Forensisch bewijs pag. 17© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  In België: schriftelijke verslag  Feiten (objectieve vaststellingen)  Interpretatie (‘expert opinion’)  Verstaanbare taal
Forensisch bewijs Sluitende verbinding tussen dader en feiten de bewijsketting of de ‘chain-of-custody’ pag. 18© Jan Devos
Digitaal (forensisch) bewijs pag. 19© Jan Devos
Digitaal (forensisch) bewijs - Immaterieel, behoudens de drager - Zie vorige (gewoon forensisch bewijs) - Voorbeelden: documenten, beelden (stilstaande, bewegende), …bestanden, … - Veel sporen maar ook veel contaminatie pag. 20© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Digitaal (forensisch) bewijs: ontstaan  Gegevens: altijd een reeks bits (1 of 0) en slechts materieel op een drager (geheugen)  Een elektronisch bestand (computerbestand), kortweg bestand (Engels: file) is een geordende verzameling van gegevens in elektronische vorm, die door het elektronische apparaat (computer, smartphone en dergelijke) onder één naam kan worden behandeld en aangesproken. pag. 21© Jan Devos
Digitaal (forensisch) bewijs: ontstaan Apparatuur en Software nodig om bestanden te maken  Computers (PC’s, servers, …), Smartphones, Fototoestellen,…  Ingebedde en niet ingebedde systemen (computergestuurde machines)  Software: applicatiesoftware of systeemsoftware  Software wordt ook gematerialiseerd via (een)(vele) bestand(en) pag. 22© Jan Devos
Digitaal (forensisch) bewijs: ontstaan Elk computerbestand bestaat principieel uit twee delen - De eigenlijke gegevens (payload) - De meta-gegevens, de gegevens over de gegevens nodig voor de apparatuur en software om de eigenlijke gegevens of payload te kunnen interpreteren en bewerken - De gegevens en de meta-gegevens maken beiden deel uit van het computerbestand - De koppeling tussen beiden kan sterk of zwak zijn pag. 23© Jan Devos
Digitaal (forensisch) bewijs: ontstaan pag. 24© Jan Devos Gegevens Meta-gegevens Meta-gegevens Gegevens
Digitaal (forensisch) bewijs: ontstaan pag. 25© Jan Devos Meta-gegevens Gegevens  Document (brief)  Naam van de brief, auteur, creatiedatum, datum van laatste aanpassing, aantal tekens, aantal woorden,…
pag. 26© Jan Devos Meta-gegevens Gegevens
pag. 27© Jan Devos Meta-gegevens Gegevens
- Aanhouding van Dennis Rader (BTK – serial killer) pag. 28© Jan Devos Digitaal (forensisch) bewijs: ontstaan
pag. 29© Jan Devos
Digitaal (forensisch) bewijs: opnemen  Opnemen van digitaal bewijs is het kopiëren van een bestand van de plaats waar het oorspronkelijk opgeslagen is  Niet zomaar kopiëren!  Tijdens het kopiëren kan het bestand al gecontamineerd worden. (vgl. met het wegnemen van DNA)  Zelfs het ‘bekijken’ (openen) van een bestand kan al contaminatie geven. Bv. Word-document pag. 30© Jan Devos
Contaminatie - Onbewust vb. automatische datumwijziging - Bewuste contaminatie pag. 31© Jan Devos
pag. 32© Jan Devos Meta-gegevens Gegevens
pag. 33© Jan Devos Meta-gegevens Gegevens
pag. 34© Jan Devos Meta-gegevens Gegevens Steganografie
pag. 35© Jan Devos
pag. 36© Jan Devos
Contaminatie - Onbewust - Bewuste contaminatie (legaal – niet legaal ?) pag. 37© Jan Devos
pag. 38© Jan Devos
pag. 39© Jan Devos
pag. 40© Jan Devos
Gegevens bewust of onbewust verwijderen - ‘Delete’ – bestand (voor magnetische schijven) meestal enkel een verwijzing in de index die weg genomen wordt. De payload en de metagegevens blijven gestockeerd - ‘Wipe’, ‘Erase’, …. – bestand (degaussing) Door een ad random patroon van 1’en en 0’len te stockeren over de payload en de metagegevens - ‘Remanent Magnetization’ Volledige demagnetiseren is meestal niet mogelijk agv. magnetische hysterese pag. 41© Jan Devos
Gegevens bewust of onbewust verwijderen pag. 42© Jan Devos
pag. 43© Jan Devos Bewuste contaminatie?
Digitaal (forensisch) bewijs: opnemen “Digital Evidence Bag”  Authentiek (authentication): ‘echtheid’  Integriteit (integrity): geen contaminatie  Beheer van de toegang (access control):  Niet-weerlegbaar (non-repudiation)  Toewijsbaar (accountable) pag. 44© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Digitaal (forensisch) bewijs: opnemen Hoe contaminatie vermijden?  Image-kopie maken  Kopiëren naar een WORM-medium  Versleutelen (encryptie)  Hashing  Forensische bestandsformaten pag. 45© Jan Devos
Digitaal (forensisch) bewijs: opnemen Image-kopie van het geheugenmedium (schijf) pag. 46© Jan Devos
Digitaal (forensisch) bewijs: opnemen Image-kopie van het geheugenmedium (schijf) - Meestal volledige en beste methode - Ideaal voor softwarebestanden - Gericht op harde (magnetische) schijven - Nadeel: omvangrijke volumes - Gespecialiseerde apparatuur en software nodig - Wat met ingebedde systemen? pag. 47© Jan Devos
Digitaal (forensisch) bewijs: opnemen Kopiëren naar een WORM-medium pag. 48© Jan Devos
Digitaal (forensisch) bewijs: opnemen Kopiëren naar een WORM-medium - Goedkope en vlotte methode - Geen gespecialiseerde apparatuur nodig - Geschikt voor kleinere volumes aan gegevens (een aantal foto’s, documenten, …) - Niet geschikt voor omvangrijke volumes pag. 49© Jan Devos
Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 50© Jan Devos
Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 51© Jan Devos
Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 52© Jan Devos
Digitaal (forensisch) bewijs: opnemen Hashing pag. 53© Jan Devos
Digitaal (forensisch) bewijs: opnemen Hashing pag. 54© Jan Devos
Digitaal (forensisch) bewijs: opnemen Hashing pag. 55© Jan Devos H(m) m h H(m’) m’ h’ ideal H(m) m h H(m)m’ chance
Digitaal (forensisch) bewijs: opnemen Hashing - Sneller dan versleutelen - Grote bestanden, resulteren altijd in een korte hash - Strikt genomen niet veilig - Birthday Paradox aanvallen Stel een H-functie met 2m mogelijk outputs en een hash H(x) (m is aantal bits van de hashcode) Wanneer H wordt toegepast op k verschillende inputs, hoe groot moet k zijn zodat de kans dat er minstens één input y is waarvoor geldt: H(y)=H(x) ? Antwoord: k = 2m/2 pag. 56© Jan Devos
Digitaal (forensisch) bewijs: opnemen Hashing: Birthday Paradox aanvallen Deskundige A maakt een m-bit hash van zijn boodschap Aanvaller maakt 2m/2 variaties van de boodschap Aanvaller maakt 2m/2 variaties van de frauduleuze boodschap De tweede verzamelingen boodschappen worden vergeleken en er wordt gezocht naar een paar met dezelfde hash De kans dat dit zich voordoet is groter dan 0,5 (birthday paradox) Is er geen match dan moeten er meer variaties opgesteld worden Is er een match dan kan de aanvaller de frauduleuze boodschap versturen met de oorspronkelijk hash van A en de ontvanger om de tuin leiden. pag. 57© Jan Devos
Digitaal (forensisch) bewijs: opnemen Hashing: Birthday Paradox aanvallen Voorbeeld van 29 variaties van een boodschap (één zin). {This letter is / I am writing} to introduce {you to / to you} {Mr. / --} Alfred {P./--} Barton, the {new / newly appointed} {chief / senior} jewellery buyer for {our/the} Northern {European/Europe} {area/division}. Nog eenvoudiger is het toevoegen van een aantal <Space> <Space> <Backspace> tussen woorden en zinnen in het oorspronkelijke en vervangen door: <Space> <Backspace><Space> pag. 58© Jan Devos
Digitaal (forensisch) bewijs: opnemen Een aantal specifieke problemen met opnemen van softwarebestanden - Hoe wordt software gemaakt (praktisch)? - Huiseigen software - ADE’s - Praktische richtlijnen pag. 59© Jan Devos
Hoe wordt software gemaakt ? pag. 60© Jan Devos
Hoe wordt software gemaakt ? pag. 61© Jan Devos - Hoe groot is de broncode? (aantal bestanden) - Hoe groot is de object/exe code? - Is de relatie tussen broncode en objectcode eenduidig? - Huiseigen software: moeilijke toegang tot broncode - ADE: ook huiseigen en vaak zeer complex (vb. Microsoft DOT.net omgeving) - Hulp van specialist (betrokken partij) is bijna altijd vereist
Digitaal (forensisch) bewijs: case Chain-of-custody: Sluitende verbinding tussen dader en feiten (de bewijsketting) pag. 62© Jan Devos
Chain-of-custody Casestudie Het probleem pag. 63© Jan Devos Thuis Webmail ISP ISP Centrale Computer Machine Server
Chain-of-custody Casestudie Het probleem pag. 64© Jan Devos Thuis ISP ISP Centrale Computer Machine Server ? Webmail
Chain-of-custody Casestudie pag. 65© Jan Devos Thuis Webmail ISP ISP Centrale Computer Machine Server
Chain-of-custody Casestudie Voorgestelde analyse: pag. 66© Jan Devos
Digitaal (forensisch) bewijs Analyse en Interpretatie: IT Forensisch Deskundige ! Problemen: • Nauwelijks proactieve aandacht (bv. audits, forensische bestandsformaten) • Te kort aan aangepaste opleiding • Geen standaardisatie en te weinig ‘open’ systemen • Te kort aan certificatie zowel van personeel als aangepaste apparatuur (bv. forensisch werkstation) pag. 67© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
Bronnen ACPO, Good Practice Guide for Computer Based Electronic Evidence, Association of Police Officers, UK, 2003 Casey, E. (2002), Error, Uncertainty, and Loss in Digital Evidence, International Journal of Digital Evidence, Summer 2002, Vol. 1, Nr. 2. Ceresini, T. (2001) Maintaining the Forensic Viability of Logfiles, SANS Institute 2000-2002 Duerr, T.E., Beser, N.D. & Staisiunas, G.P., (2004) Information Assurance Applied to Authentication of Digital Evidence, Forensic Science Communications, October 2004, Vol. 6, Nr. 4. Ford, G. T, (2005) The Impact of the Daubert Decision on Survey, Research Used in Litigation, 2005, American Marketing Association, Vol. 24 (2) Fall 2005, 234–252. Kerr, O.S., (2004) Digital Evidence and the New Criminal Procedure, Essay, Columbian Law Review, Vol. 105:279. Seward, J., (2004) Go to the Last Byte, Commercial Law Bulletin, March/April 2004. Stallings, W., & Brown, L. (2012) Computer Security, Principles and Practice, second edition, 810p., ISBN 978-0- 13-277506-9 Van de Voorde, W., Goethals, J., Nieuwdorp M. (Ed.), (2003) Multidisciplinair forensisch onderzoek (Deel I & II), Uitgeverij Politheia, Brussel. pag. 68© Jan Devos
pag. 69 Dank u !

Recommandé

15.15 uur anton maes - change management ter ondersteuning van een iconisch...
15.15 uur anton maes - change management ter ondersteuning van een iconisch...15.15 uur anton maes - change management ter ondersteuning van een iconisch...
15.15 uur anton maes - change management ter ondersteuning van een iconisch...Muriel Walter
 
Comoaeco
ComoaecoComoaeco
ComoaecoGhent University
 
CIO Summit 2013 - André Haket
CIO Summit 2013 - André HaketCIO Summit 2013 - André Haket
CIO Summit 2013 - André HaketIDGnederland
 
Presentatie november26
Presentatie november26Presentatie november26
Presentatie november26Ward Cools
 
Hvorfor Fejler EA
Hvorfor Fejler EAHvorfor Fejler EA
Hvorfor Fejler EAckortenkamp
 
Introductie Risk Management
Introductie Risk ManagementIntroductie Risk Management
Introductie Risk Managementwfth
 
Power point fi de curs 2015
Power point fi de curs 2015Power point fi de curs 2015
Power point fi de curs 2015COVilanova
 
Architecture d' Entreprise - AE Navigateur
Architecture d' Entreprise - AE NavigateurArchitecture d' Entreprise - AE Navigateur
Architecture d' Entreprise - AE NavigateurSonja Gielen
 

Recommandé

15.15 uur anton maes - change management ter ondersteuning van een iconisch...
15.15 uur anton maes - change management ter ondersteuning van een iconisch...15.15 uur anton maes - change management ter ondersteuning van een iconisch...
15.15 uur anton maes - change management ter ondersteuning van een iconisch...Muriel Walter
 
Comoaeco
ComoaecoComoaeco
ComoaecoGhent University
 
CIO Summit 2013 - André Haket
CIO Summit 2013 - André HaketCIO Summit 2013 - André Haket
CIO Summit 2013 - André HaketIDGnederland
 
Presentatie november26
Presentatie november26Presentatie november26
Presentatie november26Ward Cools
 
Hvorfor Fejler EA
Hvorfor Fejler EAHvorfor Fejler EA
Hvorfor Fejler EAckortenkamp
 
Introductie Risk Management
Introductie Risk ManagementIntroductie Risk Management
Introductie Risk Managementwfth
 
Power point fi de curs 2015
Power point fi de curs 2015Power point fi de curs 2015
Power point fi de curs 2015COVilanova
 
Architecture d' Entreprise - AE Navigateur
Architecture d' Entreprise - AE NavigateurArchitecture d' Entreprise - AE Navigateur
Architecture d' Entreprise - AE NavigateurSonja Gielen
 
The Change Management Playbook
The Change Management PlaybookThe Change Management Playbook
The Change Management PlaybookKeith Chisholm
 
10 steps to build a business case
10 steps to build a business case10 steps to build a business case
10 steps to build a business caseSonja Gielen
 
H&S And Project Planning
H&S And Project PlanningH&S And Project Planning
H&S And Project PlanningChris Jobling
 
EA Navigator - Enterprise Architecture
EA Navigator - Enterprise ArchitectureEA Navigator - Enterprise Architecture
EA Navigator - Enterprise ArchitectureSonja Gielen
 
Project governance
Project governanceProject governance
Project governanceGlen Alleman
 
Project Governance Model
Project Governance ModelProject Governance Model
Project Governance ModelConstient
 
Effective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio ManagementEffective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio ManagementMichal Augustini
 
Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project Ghent University
 
Introduction to Project Management
Introduction to Project ManagementIntroduction to Project Management
Introduction to Project ManagementGhent University
 
Ecime 2014 v.1.0
Ecime 2014 v.1.0Ecime 2014 v.1.0
Ecime 2014 v.1.0Ghent University
 
E competences 21 10-2013
E competences 21 10-2013E competences 21 10-2013
E competences 21 10-2013Ghent University
 
Eccf 2012 jdv v.3.0
Eccf 2012 jdv v.3.0Eccf 2012 jdv v.3.0
Eccf 2012 jdv v.3.0Ghent University
 
ICT Trends
ICT Trends ICT Trends
ICT Trends Ghent University
 
A New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEsA New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEsGhent University
 
Engineer or Bricoleur ?
Engineer or Bricoleur ?Engineer or Bricoleur ?
Engineer or Bricoleur ?Ghent University
 
ECIME 2012 Cork - Ireland
ECIME 2012 Cork - IrelandECIME 2012 Cork - Ireland
ECIME 2012 Cork - IrelandGhent University
 
IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)Ghent University
 
Een duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancierEen duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancierGhent University
 
Engineer or Bricoleur ?
Engineer or Bricoleur ? Engineer or Bricoleur ?
Engineer or Bricoleur ? Ghent University
 
Edushock 17 04-2012
Edushock 17 04-2012Edushock 17 04-2012
Edushock 17 04-2012Ghent University
 
Vertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projectenVertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projectenGhent University
 
Aog feb 06-03-2012 v.2.0
Aog feb 06-03-2012 v.2.0Aog feb 06-03-2012 v.2.0
Aog feb 06-03-2012 v.2.0Ghent University
 

Contenu connexe

En vedette

The Change Management Playbook
The Change Management PlaybookThe Change Management Playbook
The Change Management PlaybookKeith Chisholm
 
10 steps to build a business case
10 steps to build a business case10 steps to build a business case
10 steps to build a business caseSonja Gielen
 
H&S And Project Planning
H&S And Project PlanningH&S And Project Planning
H&S And Project PlanningChris Jobling
 
EA Navigator - Enterprise Architecture
EA Navigator - Enterprise ArchitectureEA Navigator - Enterprise Architecture
EA Navigator - Enterprise ArchitectureSonja Gielen
 
Project governance
Project governanceProject governance
Project governanceGlen Alleman
 
Project Governance Model
Project Governance ModelProject Governance Model
Project Governance ModelConstient
 
Effective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio ManagementEffective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio ManagementMichal Augustini
 

En vedette (7)

The Change Management Playbook
The Change Management PlaybookThe Change Management Playbook
The Change Management Playbook
 
10 steps to build a business case
10 steps to build a business case10 steps to build a business case
10 steps to build a business case
 
H&S And Project Planning
H&S And Project PlanningH&S And Project Planning
H&S And Project Planning
 
EA Navigator - Enterprise Architecture
EA Navigator - Enterprise ArchitectureEA Navigator - Enterprise Architecture
EA Navigator - Enterprise Architecture
 
Project governance
Project governanceProject governance
Project governance
 
Project Governance Model
Project Governance ModelProject Governance Model
Project Governance Model
 
Effective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio ManagementEffective GOVERNANCE in Project Portfolio Management
Effective GOVERNANCE in Project Portfolio Management
 

Plus de Ghent University

Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project Ghent University
 
Introduction to Project Management
Introduction to Project ManagementIntroduction to Project Management
Introduction to Project ManagementGhent University
 
A New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEsA New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEsGhent University
 
IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)Ghent University
 
Een duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancierEen duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancierGhent University
 
Vertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projectenVertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projectenGhent University
 
Introduction to Project Management
Introduction to Project ManagementIntroduction to Project Management
Introduction to Project ManagementGhent University
 
Juridische ICT tools for the Website developer
Juridische ICT tools for the Website developerJuridische ICT tools for the Website developer
Juridische ICT tools for the Website developerGhent University
 
PhD Defense presentation - 16/12/2011
PhD Defense presentation - 16/12/2011PhD Defense presentation - 16/12/2011
PhD Defense presentation - 16/12/2011Ghent University
 

Plus de Ghent University (20)

Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project Stappenplan voor een 'succesvol' project
Stappenplan voor een 'succesvol' project
 
Introduction to Project Management
Introduction to Project ManagementIntroduction to Project Management
Introduction to Project Management
 
Ecime 2014 v.1.0
Ecime 2014 v.1.0Ecime 2014 v.1.0
Ecime 2014 v.1.0
 
E competences 21 10-2013
E competences 21 10-2013E competences 21 10-2013
E competences 21 10-2013
 
Eccf 2012 jdv v.3.0
Eccf 2012 jdv v.3.0Eccf 2012 jdv v.3.0
Eccf 2012 jdv v.3.0
 
ICT Trends
ICT Trends ICT Trends
ICT Trends
 
A New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEsA New Perspective on IT Governance in SMEs
A New Perspective on IT Governance in SMEs
 
Engineer or Bricoleur ?
Engineer or Bricoleur ?Engineer or Bricoleur ?
Engineer or Bricoleur ?
 
ECIME 2012 Cork - Ireland
ECIME 2012 Cork - IrelandECIME 2012 Cork - Ireland
ECIME 2012 Cork - Ireland
 
IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)IT for Small and Medium-sized Enterprises (SMEs)
IT for Small and Medium-sized Enterprises (SMEs)
 
Een duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancierEen duurzame relatie tussen KMO IT-manager en IT-leverancier
Een duurzame relatie tussen KMO IT-manager en IT-leverancier
 
Engineer or Bricoleur ?
Engineer or Bricoleur ? Engineer or Bricoleur ?
Engineer or Bricoleur ?
 
Edushock 17 04-2012
Edushock 17 04-2012Edushock 17 04-2012
Edushock 17 04-2012
 
Vertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projectenVertrouwen: sleutel tot geslaagde IT projecten
Vertrouwen: sleutel tot geslaagde IT projecten
 
Aog feb 06-03-2012 v.2.0
Aog feb 06-03-2012 v.2.0Aog feb 06-03-2012 v.2.0
Aog feb 06-03-2012 v.2.0
 
Introduction to Project Management
Introduction to Project ManagementIntroduction to Project Management
Introduction to Project Management
 
TEDxUHowest presentatie
TEDxUHowest presentatie TEDxUHowest presentatie
TEDxUHowest presentatie
 
Trust or Control ?
Trust or Control ? Trust or Control ?
Trust or Control ?
 
Juridische ICT tools for the Website developer
Juridische ICT tools for the Website developerJuridische ICT tools for the Website developer
Juridische ICT tools for the Website developer
 
PhD Defense presentation - 16/12/2011
PhD Defense presentation - 16/12/2011PhD Defense presentation - 16/12/2011
PhD Defense presentation - 16/12/2011
 

Digitaal forensis onderzoek v.2.2

  • 1. Digitaal Forensisch Onderzoek - ICT en geschillen Prof. Dr. ir Jan Devos Universiteit Gent, Campus Kortrijk Graaf Karel De Goedelaan 5 BE-8500 KORTRIJK - BELGIUM T: +32 56 24 12 72 e-mail: jang.devos@ugent.be linkedIn: www.linkedin.com/in/jangdevos Blog: jangdevos.wordpress.org twitter: @jangdevos pag. 1© Jan Devos
  • 3. Forensisch bewijs - Materieel of immaterieel (digitaal) - Ontstaan, opnemen, analyse, interpretatie en presentatie - Sluitend (verbinding tussen dader en feiten) pag. 3© Jan Devos
  • 4. Forensisch bewijs pag. 4© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie “primum nihil nocere”
  • 5. Forensisch bewijs pag. 5© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  Wetenschappelijk (hypothesetoetsing)  Klasseneigenschappen (bv. eigen aan fabricage)  Accidentele eigenschappen (bv. gebruik/misbruik)  Vergelijkend onderzoek  Juridisch geaccepteerde kwaliteitsnorm
  • 6. Forensisch bewijs pag. 6© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Juridisch geaccepteerde kwaliteitsnorm: Daubert-criteria (Angelsaksisch)  Testbare methode en reproduceerbare resultaten  Methode onderworpen aan ‘peer review’ (methode gepubliceerd in een wetenschappelijk tijdschrift (A1)  Foutenmarge van de methode is gekend  Methode is gebaseerd op algemeen aanvaarde wetenschappelijke theorie
  • 7. Forensisch bewijs pag. 7© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  Per definitie ‘subjectief’  Neutrale deskundige ‘interpreteert’ de objectieve onderzoeksresultaten  Ononderscheidbaar, maar geen twee objecten zijn identiek  Volledige overeenkomst (“match”), wanneer er geen onverklaarbare, forensisch significante verschillen kunnen gevonden worden  Resultaten kunnen kwalitatief of kwantitatief (mathematisch) worden uitgedrukt, volgens de bewijskracht
  • 8. Forensisch bewijs pag. 8© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 9. Forensisch bewijs pag. 9© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 10. Forensisch bewijs pag. 10© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Kwalitatief  100% “match” / “uitgesloten”  Aan zekerheid grenzende waarschijnlijkheid  Mogelijk  Waarschijnlijk  Zeer waarschijnlijk
  • 11. Forensisch bewijs: voorbeeld pag. 11© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie de vingerafdruk bij het forensisch onderzoek waar klassieke inktafdrukken van vingers genomen worden en vervolgens vergeleken worden met aangetroffen sporen. De FBI beheert de grootste databank met vingerafdrukken (IAFIS) met meer dan 400 miljoen vingerafdrukken. De FBI beweert nog nooit twee gelijke vingerafdrukken te zijn tegenkomen.
  • 12. Forensisch bewijs: voorbeeld pag. 12© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 13. Forensisch bewijs pag. 13© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie Kwantitatief: Regel van Bayes (voorwaardelijk kans) Opletten! De ‘birthday paradox’ Wat is de kans dat in een groep van 30 mensen er 2 mensen dezelfde verjaardag hebben? (antwoord: 70%) Algemeen: Uniforme verdeling van 0 → N-1, kans op een dubbel > 0,5 na √N pogingen
  • 14. Forensisch bewijs – Opletten met RvB ! pag. 14© Jan Devos Een machine heeft een nauwkeurigheid van 99%. - In 99% van de gevallen wordt een verkeerd stuk gedetecteerd en geeft de machine een alarm. - In 99% van de gevallen wordt een juist stuk gedetecteerd en geeft de machine geen alarm. - Het voorkomen van verkeerde stukken wordt geraamd op 1/10000 (0,01%) Wat is de kans op een vals alarm?
  • 15. Forensisch bewijs – Opletten met RvB ! pag. 15© Jan Devos E1 = verkeerd stuk P(E1) = 0.0001 E2 = correct stuk P(E2) = 0.9999 A = alarm P(A|E1)=0.99 P(A|E2)=0.01 P(E2|A) = P(Correct stuk | Alarm) 99,0 )9999.0)(01.0()0001.0)(99.0( )9999.0)(01.0( )()|()()|( )()|( )|( 2211 22 2       EPEAPEPEAP EPEAP AEP
  • 16. Forensisch bewijs – Opletten met RvB ! pag. 16© Jan Devos Base-Rate Fallacy: Het is moeilijk om een hoge graad van nauwkeurigheid inzake detectie te bereiken met een lage graad van valse alarmen, als het werkelijke aantal verkeerde stukken laag is in verhouding tot het totaal aantal stukken.
  • 17. Forensisch bewijs pag. 17© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie  In België: schriftelijke verslag  Feiten (objectieve vaststellingen)  Interpretatie (‘expert opinion’)  Verstaanbare taal
  • 18. Forensisch bewijs Sluitende verbinding tussen dader en feiten de bewijsketting of de ‘chain-of-custody’ pag. 18© Jan Devos
  • 20. Digitaal (forensisch) bewijs - Immaterieel, behoudens de drager - Zie vorige (gewoon forensisch bewijs) - Voorbeelden: documenten, beelden (stilstaande, bewegende), …bestanden, … - Veel sporen maar ook veel contaminatie pag. 20© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 21. Digitaal (forensisch) bewijs: ontstaan  Gegevens: altijd een reeks bits (1 of 0) en slechts materieel op een drager (geheugen)  Een elektronisch bestand (computerbestand), kortweg bestand (Engels: file) is een geordende verzameling van gegevens in elektronische vorm, die door het elektronische apparaat (computer, smartphone en dergelijke) onder één naam kan worden behandeld en aangesproken. pag. 21© Jan Devos
  • 22. Digitaal (forensisch) bewijs: ontstaan Apparatuur en Software nodig om bestanden te maken  Computers (PC’s, servers, …), Smartphones, Fototoestellen,…  Ingebedde en niet ingebedde systemen (computergestuurde machines)  Software: applicatiesoftware of systeemsoftware  Software wordt ook gematerialiseerd via (een)(vele) bestand(en) pag. 22© Jan Devos
  • 23. Digitaal (forensisch) bewijs: ontstaan Elk computerbestand bestaat principieel uit twee delen - De eigenlijke gegevens (payload) - De meta-gegevens, de gegevens over de gegevens nodig voor de apparatuur en software om de eigenlijke gegevens of payload te kunnen interpreteren en bewerken - De gegevens en de meta-gegevens maken beiden deel uit van het computerbestand - De koppeling tussen beiden kan sterk of zwak zijn pag. 23© Jan Devos
  • 24. Digitaal (forensisch) bewijs: ontstaan pag. 24© Jan Devos Gegevens Meta-gegevens Meta-gegevens Gegevens
  • 25. Digitaal (forensisch) bewijs: ontstaan pag. 25© Jan Devos Meta-gegevens Gegevens  Document (brief)  Naam van de brief, auteur, creatiedatum, datum van laatste aanpassing, aantal tekens, aantal woorden,…
  • 26. pag. 26© Jan Devos Meta-gegevens Gegevens
  • 27. pag. 27© Jan Devos Meta-gegevens Gegevens
  • 28. - Aanhouding van Dennis Rader (BTK – serial killer) pag. 28© Jan Devos Digitaal (forensisch) bewijs: ontstaan
  • 29. pag. 29© Jan Devos
  • 30. Digitaal (forensisch) bewijs: opnemen  Opnemen van digitaal bewijs is het kopiëren van een bestand van de plaats waar het oorspronkelijk opgeslagen is  Niet zomaar kopiëren!  Tijdens het kopiëren kan het bestand al gecontamineerd worden. (vgl. met het wegnemen van DNA)  Zelfs het ‘bekijken’ (openen) van een bestand kan al contaminatie geven. Bv. Word-document pag. 30© Jan Devos
  • 31. Contaminatie - Onbewust vb. automatische datumwijziging - Bewuste contaminatie pag. 31© Jan Devos
  • 32. pag. 32© Jan Devos Meta-gegevens Gegevens
  • 33. pag. 33© Jan Devos Meta-gegevens Gegevens
  • 34. pag. 34© Jan Devos Meta-gegevens Gegevens Steganografie
  • 35. pag. 35© Jan Devos
  • 36. pag. 36© Jan Devos
  • 37. Contaminatie - Onbewust - Bewuste contaminatie (legaal – niet legaal ?) pag. 37© Jan Devos
  • 38. pag. 38© Jan Devos
  • 39. pag. 39© Jan Devos
  • 40. pag. 40© Jan Devos
  • 41. Gegevens bewust of onbewust verwijderen - ‘Delete’ – bestand (voor magnetische schijven) meestal enkel een verwijzing in de index die weg genomen wordt. De payload en de metagegevens blijven gestockeerd - ‘Wipe’, ‘Erase’, …. – bestand (degaussing) Door een ad random patroon van 1’en en 0’len te stockeren over de payload en de metagegevens - ‘Remanent Magnetization’ Volledige demagnetiseren is meestal niet mogelijk agv. magnetische hysterese pag. 41© Jan Devos
  • 42. Gegevens bewust of onbewust verwijderen pag. 42© Jan Devos
  • 43. pag. 43© Jan Devos Bewuste contaminatie?
  • 44. Digitaal (forensisch) bewijs: opnemen “Digital Evidence Bag”  Authentiek (authentication): ‘echtheid’  Integriteit (integrity): geen contaminatie  Beheer van de toegang (access control):  Niet-weerlegbaar (non-repudiation)  Toewijsbaar (accountable) pag. 44© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 45. Digitaal (forensisch) bewijs: opnemen Hoe contaminatie vermijden?  Image-kopie maken  Kopiëren naar een WORM-medium  Versleutelen (encryptie)  Hashing  Forensische bestandsformaten pag. 45© Jan Devos
  • 46. Digitaal (forensisch) bewijs: opnemen Image-kopie van het geheugenmedium (schijf) pag. 46© Jan Devos
  • 47. Digitaal (forensisch) bewijs: opnemen Image-kopie van het geheugenmedium (schijf) - Meestal volledige en beste methode - Ideaal voor softwarebestanden - Gericht op harde (magnetische) schijven - Nadeel: omvangrijke volumes - Gespecialiseerde apparatuur en software nodig - Wat met ingebedde systemen? pag. 47© Jan Devos
  • 48. Digitaal (forensisch) bewijs: opnemen Kopiëren naar een WORM-medium pag. 48© Jan Devos
  • 49. Digitaal (forensisch) bewijs: opnemen Kopiëren naar een WORM-medium - Goedkope en vlotte methode - Geen gespecialiseerde apparatuur nodig - Geschikt voor kleinere volumes aan gegevens (een aantal foto’s, documenten, …) - Niet geschikt voor omvangrijke volumes pag. 49© Jan Devos
  • 50. Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 50© Jan Devos
  • 51. Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 51© Jan Devos
  • 52. Digitaal (forensisch) bewijs: opnemen Versleutelen (encryptie) pag. 52© Jan Devos
  • 53. Digitaal (forensisch) bewijs: opnemen Hashing pag. 53© Jan Devos
  • 54. Digitaal (forensisch) bewijs: opnemen Hashing pag. 54© Jan Devos
  • 55. Digitaal (forensisch) bewijs: opnemen Hashing pag. 55© Jan Devos H(m) m h H(m’) m’ h’ ideal H(m) m h H(m)m’ chance
  • 56. Digitaal (forensisch) bewijs: opnemen Hashing - Sneller dan versleutelen - Grote bestanden, resulteren altijd in een korte hash - Strikt genomen niet veilig - Birthday Paradox aanvallen Stel een H-functie met 2m mogelijk outputs en een hash H(x) (m is aantal bits van de hashcode) Wanneer H wordt toegepast op k verschillende inputs, hoe groot moet k zijn zodat de kans dat er minstens één input y is waarvoor geldt: H(y)=H(x) ? Antwoord: k = 2m/2 pag. 56© Jan Devos
  • 57. Digitaal (forensisch) bewijs: opnemen Hashing: Birthday Paradox aanvallen Deskundige A maakt een m-bit hash van zijn boodschap Aanvaller maakt 2m/2 variaties van de boodschap Aanvaller maakt 2m/2 variaties van de frauduleuze boodschap De tweede verzamelingen boodschappen worden vergeleken en er wordt gezocht naar een paar met dezelfde hash De kans dat dit zich voordoet is groter dan 0,5 (birthday paradox) Is er geen match dan moeten er meer variaties opgesteld worden Is er een match dan kan de aanvaller de frauduleuze boodschap versturen met de oorspronkelijk hash van A en de ontvanger om de tuin leiden. pag. 57© Jan Devos
  • 58. Digitaal (forensisch) bewijs: opnemen Hashing: Birthday Paradox aanvallen Voorbeeld van 29 variaties van een boodschap (één zin). {This letter is / I am writing} to introduce {you to / to you} {Mr. / --} Alfred {P./--} Barton, the {new / newly appointed} {chief / senior} jewellery buyer for {our/the} Northern {European/Europe} {area/division}. Nog eenvoudiger is het toevoegen van een aantal <Space> <Space> <Backspace> tussen woorden en zinnen in het oorspronkelijke en vervangen door: <Space> <Backspace><Space> pag. 58© Jan Devos
  • 59. Digitaal (forensisch) bewijs: opnemen Een aantal specifieke problemen met opnemen van softwarebestanden - Hoe wordt software gemaakt (praktisch)? - Huiseigen software - ADE’s - Praktische richtlijnen pag. 59© Jan Devos
  • 60. Hoe wordt software gemaakt ? pag. 60© Jan Devos
  • 61. Hoe wordt software gemaakt ? pag. 61© Jan Devos - Hoe groot is de broncode? (aantal bestanden) - Hoe groot is de object/exe code? - Is de relatie tussen broncode en objectcode eenduidig? - Huiseigen software: moeilijke toegang tot broncode - ADE: ook huiseigen en vaak zeer complex (vb. Microsoft DOT.net omgeving) - Hulp van specialist (betrokken partij) is bijna altijd vereist
  • 62. Digitaal (forensisch) bewijs: case Chain-of-custody: Sluitende verbinding tussen dader en feiten (de bewijsketting) pag. 62© Jan Devos
  • 63. Chain-of-custody Casestudie Het probleem pag. 63© Jan Devos Thuis Webmail ISP ISP Centrale Computer Machine Server
  • 64. Chain-of-custody Casestudie Het probleem pag. 64© Jan Devos Thuis ISP ISP Centrale Computer Machine Server ? Webmail
  • 65. Chain-of-custody Casestudie pag. 65© Jan Devos Thuis Webmail ISP ISP Centrale Computer Machine Server
  • 67. Digitaal (forensisch) bewijs Analyse en Interpretatie: IT Forensisch Deskundige ! Problemen: • Nauwelijks proactieve aandacht (bv. audits, forensische bestandsformaten) • Te kort aan aangepaste opleiding • Geen standaardisatie en te weinig ‘open’ systemen • Te kort aan certificatie zowel van personeel als aangepaste apparatuur (bv. forensisch werkstation) pag. 67© Jan Devos Ontstaan Opnemen Analyse Interpretatie Presentatie
  • 68. Bronnen ACPO, Good Practice Guide for Computer Based Electronic Evidence, Association of Police Officers, UK, 2003 Casey, E. (2002), Error, Uncertainty, and Loss in Digital Evidence, International Journal of Digital Evidence, Summer 2002, Vol. 1, Nr. 2. Ceresini, T. (2001) Maintaining the Forensic Viability of Logfiles, SANS Institute 2000-2002 Duerr, T.E., Beser, N.D. & Staisiunas, G.P., (2004) Information Assurance Applied to Authentication of Digital Evidence, Forensic Science Communications, October 2004, Vol. 6, Nr. 4. Ford, G. T, (2005) The Impact of the Daubert Decision on Survey, Research Used in Litigation, 2005, American Marketing Association, Vol. 24 (2) Fall 2005, 234–252. Kerr, O.S., (2004) Digital Evidence and the New Criminal Procedure, Essay, Columbian Law Review, Vol. 105:279. Seward, J., (2004) Go to the Last Byte, Commercial Law Bulletin, March/April 2004. Stallings, W., & Brown, L. (2012) Computer Security, Principles and Practice, second edition, 810p., ISBN 978-0- 13-277506-9 Van de Voorde, W., Goethals, J., Nieuwdorp M. (Ed.), (2003) Multidisciplinair forensisch onderzoek (Deel I & II), Uitgeverij Politheia, Brussel. pag. 68© Jan Devos