Computerspecialisten gevraagd voor misdaadbestrijding

14 augustus 1997
Criminele organisaties zijn doorgaans internationaal georiënteerd. Zij werken snel en bij voorkeur met de modernste computer- en communicatie-apparatuur. Om dergelijke organisaties te ontmantelen is Justitie vooral aangewezen op het analyseren van buitgemaakte apparatuur. Het zoeken naar sporen in digitale informatie, zegt Hans Henseler van het Gerechtelijk Laboratorium, is uitgegroeid tot een aparte discipline: het forensisch computeronderzoek. Het concentreert zich op drie soorten systemen: geïntegreerde, open en communicatiesystemen. Er is vaak meer te lezen dan men denkt.
Onderzoek naar criminelen valt of staat tegenwoordig met het vinden van aanwijzingen in computers, gegevensbestanden, telecommunicatie en in toenemende mate datacommunicatie. Redeneren en concluderen op basis van sporen (criminalistiek) is traditioneel verbonden met forensisch onderzoek. Het zoeken naar en vinden van sporen in digitale informatie vereist forensisch computeronderzoek.

Er is sinds Sherlock Holmes het een en ander veranderd in de wereld. Steeds meer informatie wordt uitgewisseld per computer, fax of mobiele telefoon. Papieren administraties en zakagenda's worden vervangen door computersystemen en elektronische zakagenda's. Juist criminelen die opereren in wereldwijde organisaties en frauderende bedrijven maken van deze apparatuur gebruik. Bij huiszoekingen worden steeds vaker computers en digitale gegevensdragers in beslag genomen. Had men vijf jaar geleden bij een telefoontap te maken met het onderscheppen van faxberichten, nu wordt ook gebruik gemaakt van E-mail en het World Wide Web. Het zoeken naar dit soort sporen vereist een fundamentele verandering van methoden en heeft geleid tot een sterke ontwikkeling van het forensisch computeronderzoek.
Dit onderzoek kan onderverdeeld worden in embedded (geïntegreerde) systemen, open systemen en communicatiesystemen. Deze onderverdeling weerspiegelt in grote lijnen het aanbod van sporen (het is beter te spreken van stukken van overtuiging - SVO - waarin de sporen mogelijk gevonden kunnen worden). Er zijn sporen die zich in consumentenelektronica kunnen bevinden waarin veelal een computer is geïntegreerd. Voor het benaderen van de aanwezige informatie is in eerste instantie hardwareonderzoek nodig.
Onder sporen in open systemen wordt verstaan de informatie in computers en gegevensdragers die 'open' toegankelijk zijn (bijvoorbeeld in MS-Dos- of Wintel-computers of gewoon op gestandaardiseerde informatiedragers). Ook de software op deze systemen kan interessante sporen bevatten of een indicatie geven waar zij zich bevinden. Sporen in zowel geïntegreerde als open systemen worden gekenmerkt door het onderzoek aan fysieke stukken van overtuiging. Dat wil zeggen tastbare zaken zoals elektronische zakagenda's, mobiele telefoons, PC's, diskettes, computertapes et cetera.
Het derde gebied betreft communicatiesystemen. Het onderzoek heeft dan betrekking op minder tastbare stukken van overtuiging zoals bijvoorbeeld digitale transmissies. Net als voor een huiszoeking is voor het onderscheppen van berichten (de telefoontap) schriftelijk toestemming nodig van de rechtercommissaris.

Schijn bedriegt
Embedded systemen worden bij uitstek aangetroffen in consumentenelektronica. In vergelijking met een aantal jaren geleden zijn er interessante ontwikkelingen gaande op dit gebied. Voor het forensisch onderzoek hebben met name de explosieve groei van de telecommunicatie (mobiele GSM-toestellen), de opkomst van de smartcard en de wederopstanding van de elektronische zakagenda grote gevolgen. Apparatuur wordt slimmer en bevat meer functies die informatie voor de gebruiker kunnen bewaren. Het feit dat apparatuur steeds kleiner wordt en er steeds meer functies worden geïntegreerd (zakagenda, telefoon, fax en E-mail) is een complicerende factor.
Onderzoek naar informatiesporen in consumentenelektronica vereist in eerste instantie een hardwarematige aanpak. Kennis van computerarchitectuur is onontbeerlijk om de opengemaakte apparatuur te kunnen analyseren. Zelfs het openen van sommige apparaten is een vak apart. Er moeten speciale gereedschappen worden aangeschaft om de elektronica van haar behuizing te ontdoen. Dit geldt nog sterker voor ingegoten IC's, zoals bij smartcards. De introductie van de multifunctionele chipknip voor betalingen, verzekeringen, telefoneren et cetera, schreeuwt als het ware om aandacht van het forensisch onderzoek.Het wordt nog interessanter als biometrische kenmerken (vingerafdruk, handpalm) gebruikt gaan worden, zodat digitale sporen potentieel nog meer bewijs kunnen opleveren. Voor hardwareonderzoek van smartcards en IC's zijn speciale etstechnieken nodig die de elektronica onbeschadigd laten maar de omringende kunststoffen snel en veilig verwijderen.
Het onderzoeken van micro-elektronica vereist miniatuurgereedschappen, in het geval van IC-onderzoek zelfs een microscoop. De gemeten signalen kunnen vervolgens geanalyseerd worden met standaardmethoden of, wat vaker het geval is, met zelf gemaakte software. Handmatige analyse is uitgesloten in verband met de hoge kloksnelheden die miljoenen metingen per seconde opleveren. Die analyse achteraf is essentieel. Soms kan de analyse beperkt worden tot het zoeken naar specifieke informatie maar in andere gevallen is het niet uitgesloten dat de firmware (embedded software) geanalyseerd moet worden. Aangezien het bijna altijd special-purpose-processoren betreft met een onbekende instructieset, is dit geen eenvoudige klus.
Het ligt misschien voor de hand te denken dat met een goede handleiding alle nodige informatie uitgelezen kan worden. Zowel mobiele telefoons als elektronische zakagenda's kunnen direct via het keyboard benaderd worden. Maar schijn bedriegt. Ten eerste is het automatisch uitlezen van een geheugen veel betrouwbaarder en sneller dan het handmatig uitlezen. Bovendien leert de praktijk dat in het geheugen vaak nog informatie aanwezig is die door de gebruiker al is verwijderd. De verwijzing naar de informatie is slechts uit de inhoudsopgave verwijderd, de informatie zelf is nog steeds aanwezig. Dat geldt ook voor kapotte elektronica die geen informatie meer lijkt te bevatten.
Ten slotte is het bijna altijd zo dat in het geheugen meer informatie staat dan normaal gesproken via het toetsenbord uitgelezen kan worden. In sommige gevallen is het bovendien mogelijk om via de hardware te achterhalen in welke volgorde informatie is ingebracht.
De belangrijkste veranderingen in het forensisch onderzoek naar open systemen worden veroorzaakt door de snelle ontwikkeling van de PC. In de jaren tachtig was vooral het Unix-besturingssysteem op minicomputers en mainframes toonaangevend en werden PC's voornamelijk als alleenstaande werkstations gebruikt.
Begin jaren negentig was het Novell-netwerk voor MS-Dos-PC's de manier om ze met een server in een netwerk te integreren. En drie jaar geleden stond het MS-Dos-file-systeem nog steeds centraal in het onderzoek naar opslagmedia en besturingssystemen. Met de komst van Windows 95 (voorafgegaan door Windows for Workgroups 3.11 in 1994) en Windows NT 3.51 in 1995 is een nieuwe ontwikkeling in gang gezet die het forensisch onderzoek aanzienlijk heeft beïnvloed.
Besturingssystemen zijn nu zonder uitzondering grafisch georiënteerd, nieuwe file-systemen worden gebruikt (FAT-32 en NTFS) en de besturingssoftware en systeemgegevens worden objectgeoriënteerd beheerd. Een grondige analyse van een PC vereist een nieuwe aanpak. De overstap van alleenstaande PC's naar netwerken verhoogt de complexiteit van het onderzoek nog verder.
In tegenstelling tot de (digitale) elektronica in geïntegreerde systemen worden de computers en gegevensdragers van open systemen niet met oscilloscopen en schroevendraaiers maar met software te lijf gegaan. Software om gegevens te kopiëren, te doorzoeken en om zelf speciale software te schrijven waarmee gegevens zichtbaar gemaakt kunnen worden. Het betreft vooral MS-Dos- en Windows-computers en ook losse diskettes en computertapes die tegenwoordig Gigabytes (109 bytes) kunnen bevatten.
Het is belangrijk te weten op welke manier het open systeem het best benaderd kan worden. Bij diskettes en tapes is het veelal een probleem te achterhalen om welk open systeem het gaat. Zo kan het gebeuren dat een 3,5-inch diskette uiteindelijk van een verouderd type elektrische schrijfmachine blijkt te zijn en niet van een PC. Banken en rekencentra hebben al geruime tijd ervaring met het kunnen lezen van een grote variëteit aan digitale media. De hiervoor ontwikkelde apparatuur is weliswaar duur maar kan het forensisch onderzoek aanzienlijk versnellen.
Het toegankelijk maken van de nullen en enen is niet het enige probleem. Zijn deze eenmaal gevonden, dan moet de informatie ook nog bruikbaar zijn. Stel men heeft een relationele database met honderd tabellen. Het toegankelijk maken van de afzonderlijke tabellen is een mooi resultaat maar bij lange na niet voldoende om een mogelijke fraude te achterhalen. Daarvoor is het ook nodig de samenhang tussen de tabellen te kennen. Wat in veel gevallen alleen mogelijk is als de oorspronkelijke software in werkende staat wordt hersteld.
Tot dusver is alleen gesproken over de analyse van gegevensdragers. In tegenstelling tot wat de naam doet vermoeden, hebben open systemen een grote verscheidenheid aan beveiligingen. Denk aan de PC-beveiligingen die de toegang tot bestanden beperken en encryptie-software waarmee gegevens in versleutelde vorm worden opgeslagen. Om ondanks deze beveiligingen sporen te kunnen vinden, is het noodzakelijk de software te analyseren. In sommige gevallen moet de werking van onderdelen van de software-instructie geanalyseerd worden om inzicht te krijgen in de genomen beveiligingsmaatregelen, met als doel die uit te schakelen. Zo'n analyse wordt ook reverse engineering genoemd.

Reverse engineering kan nuttig zijn om een razendsnelle implementatie te maken waarmee gebrobeerd wordt in korte tijd met miljoenen codes een beveiliging te doorbreken. Overigens hoeft het niet altijd snel. Voor sommige vier-cijferige pincodebeveiligingen kunnen alle tienduizend mogelijke codes zelfs met de hand worden geprobeerd. Of, nog eenvoudiger, met een machine die met een snelheid van twee codes per minuut in gemiddeld een week de juiste code weet te vinden. Een dergelijke aanval lukt natuurlijk niet als het aantal pogingen beperkt is tot bijvoorbeeld drie.
Zowel media- als software-analyse vereist kennis van het onderliggende besturingssysteem. Analyse van complexe besturingssystemen als Unix, Windows NT en in mindere mate Windows 95 is onmisbaar in het forensisch computeronderzoek. In deze systemen worden op talloze manieren handelingen geregistreerd van (geïdentificeerde) gebruikers. Een doorgewinterde Windows-programmeur weet uit ervaring dat veel informatie wordt opgeslagen in de 'registry' en de talloze bestanden in het file-systeem. Bovendien functioneren deze systemen veelal als knooppunten in netwerken waardoor de sporen voor een onderzoek van groot belang kunnen zijn.
Forensisch computeronderzoek op het gebied van computernetwerken is vooral nodig in verband met het onderzoek naar computervredebreuk, het inbreken in computersystemen.

Moeizaam afpellen
Een aantal jaren geleden was er in de praktijk van het forensisch computeronderzoek nog betrekkelijk weinig te merken van het gebruik van datacommunicatie. In enkele gevallen van softwarepiraterij kwam het wel voor dat datacommunicatie van en naar Bulletin Board Systemen (BBS'en) onderzocht werd.
Met de opkomst van snellere modems en de explosieve groei van het Internet en World Wide Web (WWW) speelt datacommunicatie een veel grotere rol bij de uitwisseling van informatie. Vanuit forensisch perspectief is het daarom interessant.

Datacommunicatie via Internet-verbindingen is vele malen complexer dan datacommunicatie die gepaard gaat met het inbellen op een BBS. Ten eerste zijn er de netwerkprotocollen waarin de informatie is verpakt. Het bekende Osi-model varieert van fysieke transportlaag tot applicatielaag. Iedere laag voegt haar eigen informatie toe en stelt pakketten samen die uiteindelijk via de fysieke transportlaag gerouteerd worden. Bekende protocol-termen als TCP/IP, ATM, PPP, POP, HTTP, HTML, SSL krijgen een nieuwe dimensie in het forensisch onderzoek.
Moeizaam moeten protocollen laag voor laag worden afgepeld. In sommige gevallen kan daarbij interessante informatie over verzender en ontvanger verkregen worden. Ook gebeurt het dat informatie slechts gedeeltelijk ontvangen wordt. In geval er compressietechnieken zijn toegepast, kan dat een zorgvuldige analyse van de data vereisen om zoveel mogelijk van het oorspronkelijke bericht te kunnen herstellen. Dit vereist aanzienlijke kennis van netwerktechnieken en informatiecodering.
Op dit moment veroudert kennis snel. In de bovenste lagen van het Osi-model, die meer applicatie gericht zijn, wordt de ene na de andere nieuwe ontwikkeling geïntroduceerd. Dit is onder meer een gevolg van de plug-ins die in WWW-browsers geladen kunnen worden om speciale dataformaten (van applicaties) te interpreteren. Ontwikkelingen als Com (common object model) en de gedistribueerde versie DCom maken de verspreiding van Active-X plug-ins op de Wintel-platformen haast onvoorstelbaar. De stand alone-applicaties van vandaag en gisteren zijn de netwerkapplicaties van morgen. Datacommunicatie speelt een essentiële rol, maar het zoeken naar sporen vereist een reeks van deskundigheden.

Kennis van datacommunicatie alleen is onvoldoende. Om berichten te kunnen onderscheppen en metingen te kunnen doen, is kennis van de telecommunicatie-infrastructuur onmisbaar. Dit geldt zowel voor de vaste als voor de mobiele infrastructuur. Nu de markt is geliberaliseerd, wordt de ene service na de andere geïntroduceerd door concurrerende partijen. Mobiele telefonie is bijzonder complex en zowel de hand-set als de infrastructuur kunnen op vele manieren interessante sporen bevatten. Abonneegegevens, voorgeprogrammeerde telefoonnummers, voice-mail en laatstgekozen nummers vormen nog maar een kleine greep uit het grote aanbod van diensten en functies die voor onderzoek in aanmerking komen.

Controlegetal
De laatste jaren is cryptografie belangrijker geworden in het forensisch computeronderzoek. Door de grotere verwerkingssnelheid van personal computers kan cryptografie makkelijker en vaker toegepast worden voor de beveiliging van informatie. Het kan daarmee een belangrijk obstakel zijn bij het toegankelijk maken van informatie. Naar verwachting zal dit probleem in de toekomst nog groter worden naarmate er sterkere cryptografie commercieel beschikbaar komt.
Uit het oogpunt van preventie is dit een goede ontwikkeling. Nog te veel elektronische informatie is makkelijk leesbaar. Het is in veel gevallen de vraag hoe goed de privacy van klanten in een elektronische database op een computernetwerk gewaarborgd is.
Zo slaagden Duitse hackers er kortgeleden in de complete controle over een service provider van Internet in Miami te krijgen en werden alle creditcardgegevens van abonnees bemachtigd. Vervolgens dreigden de hackers het systeem te vernielen en alle gegevens te verspreiden tenzij een losgeld werd betaald. De hackers werden gearresteerd door de Duitse autoriteiten toen ze het losgeld wilden ophalen. Wat meer encryptie kan dus geen kwaad en zou uit het oogpunt van privacy misschien zelfs verplicht gesteld moeten worden.
Tegelijkertijd moeten we ons realiseren dat encryptie in misdadige handen ook grote problemen kan opleveren voor de samenleving. De ontwikkeling van zogenaamde Trusted Third Parties (TTP's) biedt een mogelijke oplossing voor dit dilemma. In welke vorm dat precies gaat gebeuren, zal waarschijnlijk binnen afzienbare tijd geregeld worden. Voorwaarde is en blijft wel dat alleen de rechter toestemming mag geven voor het leesbaar maken van informatie.
Encryptie speelt ook nog een andere rol in het forensisch computeronderzoek. Veel onderzoeksresultaten zijn zelf vastgelegd in digitale vorm. Bijvoorbeeld op een diskette of CD-recordable die bij het onderzoeksrapport als bijlage wordt meegestuurd. Om te voorkomen dat de inhoud van de bijlagen per ongeluk of met opzet wordt veranderd, wordt in het rapport een controlegetal vermeld dat door middel van een cryptografisch algoritme uniek gerelateerd is aan de digitale inhoud van de bijlagen.
Een voorbeeld van een betrouwbaar cryptografisch algoritme is het Secure Hash Algoritme (SHA-1) dat momenteel door het Gerechtelijk Laboratorium wordt gebruikt. SHA-1 is vastgelegd in de Secure Hash Standaard (SHS), die is ontwikkeld door NIST in samenwerking met de NSA, en te vinden op Internet als FIPS 180-1. De implementatie die door het Gerechtelijk Laboratorium wordt gebruikt is gecontroleerd door NIST (http://csrc.ncsl.nist.gov/cryptval/dss/dssval.htm). Naar verwachting zullen steeds meer gebruikers van dit soort checksums en andere vormen van digitale handtekeningen gebruik maken.

Hans Henseler

Dr ir J. Henseler is hoofd van de afdeling Computeronderzoek van het Gerechtelijk Laboratorium in Rijswijk.

Kader: Digitaal rechercheren
De afdeling Computeronderzoek van het Gerechtelijk Laboratorium (GL) is in 1992 begonnen met twee onderzoekers als onderdeel van de afdeling Schrift- en Spraakonderzoek. Inmiddels telt de afdeling Computeronderzoek 21 medewerkers die gespecialiseerd zijn in de analyse van gegevensdragers, programmatuur, smartcards, telecomapparatuur, elektronische zakagenda's, datacommunicatie, informatiecodering, mobiele en vaste telecommunicatie-infrastructuur, Internet en computernetwerken in het algemeen.
Bij deze onderzoeken wordt het GL altijd als onafhankelijk laboratorium door de rechter ingeschakeld. Een andere belangrijke taak van de afdeling is het ontwikkelen en bruikbaar maken van nieuwe forensische onderzoekstechnieken voor de politie en bijzondere opsporingsdiensten, zoals Fiod, AID, ECD, Koninklijke Marechaussee et cetera.
Opsporingsinstanties onderzoeken in eerste instantie zelf het bewijsmateriaal. Als het onderzoek te complex wordt, doen zij eventueel een beroep op het Gerechtelijk Laboratorium. Het is belangrijk dat zij in staat zijn het bewijsmateriaal op een juiste manier veilig te stellen. Voor sporen bij brand, inbraak et cetera, is hiervoor de technische recherche. Voor computeronderzoeken kan een beroep gedaan worden op de Teams Computercriminaliteit (TCC's) waarvan er nu in totaal vijf van de politie zijn en een van de Fiod.
Inmiddels is de omvang van de problematiek echter dermate groot dat behoefte is aan meer gespecialiseerde opsporingsambtenaren. Nieuwe opleidingen en methoden zijn nodig om ervoor te zorgen dat ook andere groepen binnen de politie en bijzondere opsporingsdiensten in staat zijn om, in samenwerking met de TCC's, op beperkte schaal computers te onderzoeken. Hierdoor krijgen de Teams Computercriminaliteit de ruimte zich verder te ontwikkelen tot een tweede echelon van computerspecialisten, die op dit moment hard nodig zijn om de nieuwe ontwikkelingen bij te kunnen houden.
Deze problematiek is beschreven in de nota 'Digitaal Rechercheren'. Met deze nota als leidraad, wordt onder auspiciën van de Raad van Hoofdcommissarissen in september een themadag georganiseerd om het management van de Nederlandse Politie en Justitie en het Openbaar Ministerie bewust te maken van de veranderingen die nodig zijn om het nieuwe tijdperk van digitaal rechercheren in te kunnen gaan.
De multifunctionele Chipknip schreeuwt om aandacht van forensisch onderzoek
Kennis van datacommunicatie alleen is onvoldoende
Met een infraroodscanner worden de vingerafdrukken geregistreerd. Met een online verbinding met de computer van het CRI (centrale recherche informatie dienst) worden de vingerafdrukken in 7 minuten vergeleken met alle eerder bij enig onderzoek vastgelegde vingerafdrukken.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!