Computer forensics: drie tools nader bekeken
Tegenwoordig spreken we vooral van digital forensics. Zeker met de komst van de mobiele technologie lijkt onderzoek van computerdata steeds meer naar de achtergrond te verdwijnen. Maar is dit echt het geval? Uit de onderstaande analyse van drie vooraanstaande softwaretools voor digitaal onderzoek zal blijken van niet.
Om een gedegen en forensisch verantwoord onderzoek uit te voeren, is het belangrijk dat rechercheurs en onderzoekers over de juiste tooling beschikken. Deze tooling kan experts ondersteunen in hun zoektocht naar bruikbaar bewijsmateriaal in bijvoorbeeld de cloud en op mobiele apparaten. Ook computers en laptops worden nog regelmatig aangetroffen in een onderzoek. Welke tool wanneer gebruikt dient te worden is lang niet altijd even makkelijk te bepalen. De experts van DataExpert Investigations adviseren u hier dan ook graag in. Ze beschikken over een onderzoekslab ingericht met verschillende forensische soft- en hardware oplossingen die allemaal hun eigen specialiteit en kracht hebben. Welke tooling wordt ingezet is onder meer afhankelijk van het type onderzoek, de aangetroffen gegevensdragers, welk besturingssysteem gebruikt wordt en de onderzoeksvraag. Zo worden voor digitaal onderzoek van computers en laptops onder meer EnCase, FTK en Intella toegepast. Hieronder lichten we toe hoe deze drie oplossingen bijdragen aan een efficiënt onderzoek:
EnCase
EnCase is de meest bekende softwareoplossing voor computeronderzoek, gemaakt door voorheen Guidance Software, tegenwoordig onderdeel van het portfolio van OpenText. Voor het herstellen en het uitfilteren van data op een computer is EnCase een krachtige en efficiënte oplossing. EnCase kan met z.g. filters en conditions zeer snel inzichtelijk maken welke bestanden relevant zijn. Vervolgens is het mogelijk deze data eenvoudig te selecteren en nauwkeuriger te bekijken met behulp van conditions. De conditions zijn voorwaarden die binnen EnCase worden ingesteld en gebruikt worden voor de selectie van bestanden op type document of path. De conditions zijn vrij eenvoudig zelf te bouwen in EnCase. Hierdoor kunnen rechercheurs, onderzoekers of de experts van DataExpert voor elk onderzoek eenvoudig een toolbox samenstellen die aansluit bij de benodigdheden voor dat specifieke onderzoek. In onderstaande afbeelding vindt u een voorbeeld van de mogelijke conditions binnen EnCase.
Verder is het in EnCase mogelijk om te selecteren op data en tijdstippen waarop een actie/incident heeft plaatsgevonden. Tenslotte biedt EnCase de mogelijkheid om aangetroffen bewijs vast te leggen in overzichtelijke rapportages.
FTK
Forensic Toolkit (FTK) wordt gemaakt door AccessData (Exterro) en is vooral bekend van de FTK Imager welke door vele digitaal rechercheurs wordt gebruikt voor het kopiëren van computerdata. Forensic Toolkit biedt de mogelijkheid om aangetroffen data op een computer te indexeren. Om een case te kunnen maken, is binnen FTK de indexering van data namelijk een vereiste. Elk woord dat voorkomt in een dataset komt daardoor in een database te staan. Als er zoektermen worden ingevoerd, kijkt FTK vervolgens automatisch in de database en toont dan alle varianten die lijken op de ingevoerde zoektermen.
Verder biedt FTK een krachtige Timeline functie waarmee kan worden gezocht naar een specifieke datum of tijdstip in het e-mail verkeer van een computer. De opbouw van deze tijdlijn gebeurt vanuit de mail. De tijden van het verzenden en/of ontvangen worden per jaar, maand of zelfs per dag chronologisch ingedeeld. Hierdoor is het dus makkelijk om een periode te selecteren en binnen deze geselecteerde periode te gaan zoeken. Een voorbeeld van deze Timeline functie ziet u in de afbeelding hieronder.
Intella
Een krachtige tool voor e-mail onderzoek is Intella. Deze tool is niet beperkt tot alleen e-mail, want ook Office data en data uit de Cloud kan zonder probleem worden doorzocht. De interface maakt Intella zeer gebruikersvriendelijk en prettig om mee te werken. Zeker voor niet technisch rechercheurs en mensen met weinig tot geen ervaring is Intella aan te bevelen.
De laatste jaren is Intella flink doorontwikkeld door de maker Vound Software. De software is zeer krachtig in het analyseren van grote e-mail omgevingen en kan daarnaast goed worden ingezet voor het extraheren van data uit de cloud, zoals nodig is bij office 365 omgevingen. Binnen het e-mailverkeer kan er op deze manier naar verbanden worden gezocht, zoals bijvoorbeeld wie met wie contact heeft gehad. Ook eventueel ontlastend bewijsmateriaal wordt inzichtelijk gemaakt doordat de gehele e-mail conversatie beschikbaar is.
Verder biedt Intella de mogelijkheid om het aangetroffen bewijs dat in een case over een persoon wordt aangetroffen, te koppelen aan identiteiten. Nadat Intella de data heeft geïndexeerd kan er een Insight Rapport eenvoudig met het team worden gedeeld. Dit geeft een goed overzicht met wat voor soort gegevens er gevonden zijn en ook sturing in de richting waar men naar wil gaan zoeken. Een voorbeeld van deze rapportage is hieronder afgebeeld.
Naast de hierboven omschreven tooling zijn er nog vele andere soft- en hardware oplossingen geschikt voor digitaal onderzoek. We geven u hier graag advies over of ontzorgen u volledig door het forensische onderzoek voor u uit te voeren. Heeft u vragen? Neem dan zeker contact met ons op.