Digitaal forensis onderzoek v.2.2

Digitaal Forensisch Onderzoek

- ICT en geschillen

Prof. Dr. ir Jan Devos Universiteit Gent, Campus Kortrijk

Graaf Karel De Goedelaan 5

BE-8500 KORTRIJK - BELGIUM

T: +32 56 24 12 72

e-mail: [email protected]

linkedIn: www.linkedin.com/in/jangdevos

Blog: jangdevos.wordpress.org

twitter: @jangdevos

pag. 1 © Jan Devos

Forum / Forensis

pag. 2

Forensisch bewijs

- Materieel of immaterieel (digitaal)

- Ontstaan, opnemen, analyse, interpretatie en

presentatie

- Sluitend (verbinding tussen dader en feiten)

pag. 3 © Jan Devos

Forensisch bewijs

pag. 4 © Jan Devos

Ontstaan Opnemen Analyse Interpretatie Presentatie

“primum nihil nocere”

Forensisch bewijs

pag. 5 © Jan Devos


Wetenschappelijk (hypothesetoetsing)

Klasseneigenschappen (bv. eigen aan fabricage)

Accidentele eigenschappen (bv. gebruik/misbruik)

Vergelijkend onderzoek

Juridisch geaccepteerde kwaliteitsnorm

Forensisch bewijs

pag. 6 © Jan Devos


Juridisch geaccepteerde kwaliteitsnorm: Daubert-criteria (Angelsaksisch)

Testbare methode en reproduceerbare resultaten

Methode onderworpen aan ‘peer review’ (methode gepubliceerd

in een wetenschappelijk tijdschrift (A1)

Foutenmarge van de methode is gekend

Methode is gebaseerd op algemeen aanvaarde wetenschappelijke

theorie

Forensisch bewijs

pag. 7 © Jan Devos


Per definitie ‘subjectief’

Neutrale deskundige ‘interpreteert’ de objectieve onderzoeksresultaten

Ononderscheidbaar, maar geen twee objecten zijn identiek

Volledige overeenkomst (“match”), wanneer er geen onverklaarbare,

forensisch significante verschillen kunnen gevonden worden

Resultaten kunnen kwalitatief of kwantitatief (mathematisch)

worden uitgedrukt, volgens de bewijskracht

Forensisch bewijs

pag. 8 © Jan Devos


Forensisch bewijs

pag. 9 © Jan Devos


Forensisch bewijs

pag. 10 © Jan Devos


Kwalitatief

100% “match” / “uitgesloten”

Aan zekerheid grenzende

waarschijnlijkheid

Mogelijk

Waarschijnlijk

Zeer waarschijnlijk

Forensisch bewijs: voorbeeld



de vingerafdruk bij het forensisch onderzoek

waar klassieke inktafdrukken van vingers genomen worden en vervolgens

vergeleken worden met aangetroffen sporen.

De FBI beheert de grootste databank met vingerafdrukken (IAFIS) met meer dan

400 miljoen vingerafdrukken.

De FBI beweert nog nooit twee gelijke vingerafdrukken te zijn tegenkomen.

Forensisch bewijs: voorbeeld



Forensisch bewijs



Kwantitatief: Regel van Bayes (voorwaardelijk kans)

Opletten! De ‘birthday paradox’

Wat is de kans dat in een groep van 30 mensen er 2 mensen dezelfde

verjaardag hebben? (antwoord: 70%)

Algemeen:

Uniforme verdeling van 0 → N-1, kans op een dubbel > 0,5 na √N pogingen

Forensisch bewijs – Opletten met RvB !


Een machine heeft een nauwkeurigheid van 99%.

- In 99% van de gevallen wordt een verkeerd stuk

gedetecteerd en geeft de machine een alarm.

- In 99% van de gevallen wordt een juist stuk gedetecteerd

en geeft de machine geen alarm.

- Het voorkomen van verkeerde stukken wordt geraamd op

1/10000 (0,01%)

Wat is de kans op een vals alarm?



E1 = verkeerd stuk P(E1) = 0.0001

E2 = correct stuk P(E2) = 0.9999

A = alarm P(A|E1)=0.99

P(A|E2)=0.01

P(E2|A) = P(Correct stuk | Alarm)

99,0)9999.0)(01.0()0001.0)(99.0(

)9999.0)(01.0(

)()|()()|(

)()|()|(

2211

222

EPEAPEPEAP

EPEAPAEP



Base-Rate Fallacy:

Het is moeilijk om een hoge graad van

nauwkeurigheid inzake detectie te bereiken met

een lage graad van valse alarmen, als het

werkelijke aantal verkeerde stukken laag is in

verhouding tot het totaal aantal stukken.

Forensisch bewijs



In België: schriftelijke verslag

Feiten (objectieve vaststellingen)

Interpretatie (‘expert opinion’)

Verstaanbare taal

Forensisch bewijs

Sluitende verbinding tussen dader en feiten

de bewijsketting of de ‘chain-of-custody’


Digitaal (forensisch) bewijs



- Immaterieel, behoudens de drager

- Zie vorige (gewoon forensisch bewijs)

- Voorbeelden: documenten, beelden (stilstaande,

bewegende), …bestanden, …

- Veel sporen maar ook veel contaminatie



Digitaal (forensisch) bewijs: ontstaan

Gegevens: altijd een reeks bits (1 of 0) en slechts materieel

op een drager (geheugen)

Een elektronisch bestand (computerbestand), kortweg

bestand (Engels: file) is een geordende verzameling van

gegevens in elektronische vorm, die door het elektronische

apparaat (computer, smartphone en dergelijke) onder één

naam kan worden behandeld en aangesproken.



Apparatuur en Software nodig om bestanden te maken

Computers (PC’s, servers, …), Smartphones,

Fototoestellen,…

Ingebedde en niet ingebedde systemen

(computergestuurde machines)

Software: applicatiesoftware of systeemsoftware

Software wordt ook gematerialiseerd via (een)(vele)

bestand(en)



Elk computerbestand bestaat principieel uit twee delen

- De eigenlijke gegevens (payload)

- De meta-gegevens, de gegevens over de gegevens nodig

voor de apparatuur en software om de eigenlijke gegevens

of payload te kunnen interpreteren en bewerken

- De gegevens en de meta-gegevens maken beiden deel uit

van het computerbestand

- De koppeling tussen beiden kan sterk of zwak zijn




Gegevens

Meta-gegevens

Meta-gegevens

Gegevens



Meta-gegevens

Gegevens Document (brief)

Naam van de brief, auteur,

creatiedatum, datum van

laatste aanpassing, aantal

tekens, aantal woorden,…


Meta-gegevens

Gegevens

- Aanhouding van Dennis Rader (BTK –

serial killer)



Digitaal (forensisch) bewijs: opnemen

Opnemen van digitaal bewijs is het kopiëren van een

bestand van de plaats waar het oorspronkelijk opgeslagen

is

Niet zomaar kopiëren!

Tijdens het kopiëren kan het bestand al gecontamineerd

worden. (vgl. met het wegnemen van DNA)

Zelfs het ‘bekijken’ (openen) van een bestand kan al

contaminatie geven. Bv. Word-document


Contaminatie

- Onbewust vb. automatische datumwijziging

- Bewuste contaminatie



Meta-gegevens

Gegevens


Meta-gegevens

Gegevens Steganografie

Contaminatie

- Onbewust

- Bewuste contaminatie (legaal – niet legaal ?)


Gegevens bewust of onbewust verwijderen

- ‘Delete’ – bestand (voor magnetische schijven)

meestal enkel een verwijzing in de index die weg genomen

wordt. De payload en de metagegevens blijven gestockeerd

- ‘Wipe’, ‘Erase’, …. – bestand (degaussing)

Door een ad random patroon van 1’en en 0’len te stockeren

over de payload en de metagegevens

- ‘Remanent Magnetization’

Volledige demagnetiseren is meestal niet mogelijk agv.

magnetische hysterese


Gegevens bewust of onbewust verwijderen



Bewuste

contaminatie?


“Digital Evidence Bag”

Authentiek (authentication): ‘echtheid’

Integriteit (integrity): geen contaminatie

Beheer van de toegang (access control):

Niet-weerlegbaar (non-repudiation)

Toewijsbaar (accountable)




Hoe contaminatie vermijden?

Image-kopie maken

Kopiëren naar een WORM-medium

Versleutelen (encryptie)

Hashing

Forensische bestandsformaten



Image-kopie van het geheugenmedium (schijf)



Image-kopie van het geheugenmedium (schijf)

- Meestal volledige en beste methode

- Ideaal voor softwarebestanden

- Gericht op harde (magnetische) schijven

- Nadeel: omvangrijke volumes

- Gespecialiseerde apparatuur en software nodig

- Wat met ingebedde systemen?




- Goedkope en vlotte methode

- Geen gespecialiseerde apparatuur nodig

- Geschikt voor kleinere volumes aan gegevens

(een aantal foto’s, documenten, …)

- Niet geschikt voor omvangrijke volumes



Hashing



Hashing


H(m) m h

H(m’) m’ h’

ideal

H(m) m h

H(m) m’

chance


Hashing

- Sneller dan versleutelen

- Grote bestanden, resulteren altijd in een korte hash

- Strikt genomen niet veilig

- Birthday Paradox aanvallen Stel een H-functie met 2m mogelijk outputs en een hash H(x)

(m is aantal bits van de hashcode)

Wanneer H wordt toegepast op k verschillende inputs, hoe groot moet k zijn

zodat de kans dat er minstens één input y is waarvoor geldt: H(y)=H(x) ?

Antwoord: k = 2m/2



Hashing: Birthday Paradox aanvallen

Deskundige A maakt een m-bit hash van zijn boodschap

Aanvaller maakt 2m/2 variaties van de boodschap

Aanvaller maakt 2m/2 variaties van de frauduleuze boodschap

De tweede verzamelingen boodschappen worden vergeleken en er wordt

gezocht naar een paar met dezelfde hash

De kans dat dit zich voordoet is groter dan 0,5 (birthday paradox)

Is er geen match dan moeten er meer variaties opgesteld worden

Is er een match dan kan de aanvaller de frauduleuze boodschap versturen met

de oorspronkelijk hash van A en de ontvanger om de tuin leiden.



Hashing: Birthday Paradox aanvallen

Voorbeeld van 29 variaties van een boodschap (één zin).

{This letter is / I am writing} to introduce {you to / to you} {Mr. / --} Alfred {P./--}

Barton, the {new / newly appointed} {chief / senior} jewellery buyer for

{our/the} Northern {European/Europe} {area/division}.

Nog eenvoudiger is het toevoegen van een aantal

<Space> <Space> <Backspace>

tussen woorden en zinnen in het oorspronkelijke en vervangen door:

<Space> <Backspace><Space>



Een aantal specifieke problemen met opnemen van

softwarebestanden

- Hoe wordt software gemaakt (praktisch)?

- Huiseigen software

- ADE’s

- Praktische richtlijnen


Hoe wordt software gemaakt ?


Hoe wordt software gemaakt ?


- Hoe groot is de broncode? (aantal bestanden)

- Hoe groot is de object/exe code?

- Is de relatie tussen broncode en objectcode eenduidig?

- Huiseigen software: moeilijke toegang tot broncode

- ADE: ook huiseigen en vaak zeer complex

(vb. Microsoft DOT.net omgeving)

- Hulp van specialist (betrokken partij) is bijna altijd vereist

Digitaal (forensisch) bewijs: case

Chain-of-custody: Sluitende verbinding

tussen dader en feiten (de bewijsketting)


Chain-of-custody Casestudie

Het probleem


Thuis

Webmail

ISP ISP

Centrale

Computer

Machine

Server


Het probleem


Thuis

ISP ISP

Centrale

Computer

Machine

Server

?

Webmail



Thuis

Webmail

ISP ISP

Centrale

Computer

Machine

Server


Voorgestelde analyse:



Analyse en Interpretatie: IT Forensisch Deskundige !

Problemen:

• Nauwelijks proactieve aandacht (bv. audits, forensische

bestandsformaten)

• Te kort aan aangepaste opleiding

• Geen standaardisatie en te weinig ‘open’ systemen

• Te kort aan certificatie zowel van personeel als aangepaste

apparatuur (bv. forensisch werkstation)



Bronnen

ACPO, Good Practice Guide for Computer Based Electronic Evidence, Association of Police Officers, UK, 2003

Casey, E. (2002), Error, Uncertainty, and Loss in Digital Evidence, International Journal of Digital Evidence,

Summer 2002, Vol. 1, Nr. 2.

Ceresini, T. (2001) Maintaining the Forensic Viability of Logfiles, SANS Institute 2000-2002

Duerr, T.E., Beser, N.D. & Staisiunas, G.P., (2004) Information Assurance Applied to Authentication of Digital

Evidence, Forensic Science Communications, October 2004, Vol. 6, Nr. 4.

Ford, G. T, (2005) The Impact of the Daubert Decision on Survey, Research Used in Litigation, 2005, American

Marketing Association, Vol. 24 (2) Fall 2005, 234–252.

Kerr, O.S., (2004) Digital Evidence and the New Criminal Procedure, Essay, Columbian Law Review, Vol. 105:279.

Seward, J., (2004) Go to the Last Byte, Commercial Law Bulletin, March/April 2004.

Stallings, W., & Brown, L. (2012) Computer Security, Principles and Practice, second edition, 810p., ISBN 978-0-

13-277506-9

Van de Voorde, W., Goethals, J., Nieuwdorp M. (Ed.), (2003) Multidisciplinair forensisch onderzoek (Deel I & II),

Uitgeverij Politheia, Brussel.


pag. 69

Dank u !

Digitaal forensis onderzoek v.2.2

Technology

Transcript of Digitaal forensis onderzoek v.2.2