Contact

Nieuws

De uitdagingen van een cloud onderzoek

Onderzoek in de cloud is complex en brengt de nodige uitdagingen met zich mee. In deze blog lichten een aantal medewerkers van Magnet Forensics de verschillende facetten van cloud onderzoek toe. Aan de orde komen onder meer de analyse van verschillende cloud bronnen vanuit diverse invalshoeken, wat effectieve workflows zijn, welke verschillende toegangsmogelijkheden er zijn en tips & tricks om uw cloud onderzoeken succesvoller te maken.

De verschillende varianten van cloud onderzoek
De eerste stap in cloud onderzoek is het begrip van de verschillende varianten waar je als onderzoeker mee te maken kunt krijgen.

“Cloud onderzoek kan zoveel verschillende dingen betekenen; het kan gaan om het onderzoeken van gegevens die in de cloud zijn opgeslagen, een onderzoek naar een cloud aanbieder, maar het kan ook gaan om onderzoek dat in de cloud wordt uitgevoerd. Het is belangrijk om onderscheid te maken in deze varianten.”, aldus Jessica Hyde.

Hoe open source cloud gegevens jouw onderzoeken kunnen helpen
Onderzoek in de cloud kun je op verschillende manieren benaderen: van Open Source Intelligence (OSINT) onderzoeken en het onderzoeken van cloud accounts van personen die hun inloggegevens vrijwillig beschikbaar hebben gesteld (vaak van slachtoffers en getuigen), tot het verkrijgen van bevelschriften voor cloud serviceproviders om toegang te krijgen tot de accounts van verdachten.

Hoewel het misschien lijkt alsof OSINT onderzoeken minder effectief zijn bij het traceren van verdachten met technische kennis, geeft Steve Gemperle aan dat er een verrassende hoeveelheid gegevens publiekelijk beschikbaar is: "In veel gevallen willen criminelen laten zien wat ze doen. Denk bijvoorbeeld aan individuen die opscheppen m.b.v. video's van overvallen en diefstallen op Snapchat, Instagram en Facebook." Bovendien, zegt Kim Bradley: "Er zijn vaak wel accountgegevens aanwezig op een apparaat, zoals een mobiele telefoon of een P.C., maar de meest actuele versie van wat dat account feitelijk heeft gepost of de activiteiten die op dat account hebben plaatsgevonden zijn vaak terug te vinden op internet."

Gegevens verkrijgen uit op toestemming gebaseerd onderzoek
Naast de informatie die terug te vinden is in open bronnen is het ook mogelijk om onderzoek te verrichten in cloud accounts na toestemming van betrokkenen. Veel waardevolle informatie kan op deze wijze worden verkregen. Een bevelschrift of toestemming van de OVJ is in deze gevallen niet benodigd.

Trey Amick geeft aan dat de cloud accounts van zowel slachtoffers als potentiële getuigen waardevol zijn, met name aan het begin van een onderzoek: "Ook al wil je de accountgegevens van de verdachte hebben zodat je kunt bewijzen dat de verdachte 'achter het toetsenbord zat', aan het begin van een onderzoek kan een slachtoffer of getuige die meewerkt je veel waardevolle gegevens verschaffen. Je kunt informatie vinden over beide kanten van een gesprek, gedeelde informatie en media verzamelen, enz. Het kan je ook de gebruikersnaam en het e-mailadres van een verdachte opleveren en andere aanknopingspunten om de verdachte via OSINT-strategieën te vervolgen."

Bovendien kan het verkrijgen van toegang tot deze accounts snel gebeuren, doordat de inloggegevens van de gebruiker met instemming zijn vrijgegeven.

Werken met slachtoffers en getuigen
Het is belangrijk om duidelijk te zijn tegen slachtoffers en getuigen. Kim Bradley: "De beste manier om met slachtoffers en verdachten te werken is uit te leggen hoe de verzameling gaat plaatsvinden en hoe de gegevens gebruikt gaan worden. Door mensen dat uit te leggen, kunnen ze je mogelijk sneller helpen in plaats van te moeten wachten tot er een bevelschrift is getekend en vervolgens een verzoek is ingediend bij die cloud dienstverlener. Het is veel sneller als ze bereid zijn om hun gegevens te delen, dan kun je gelijk aan de slag."

Zodra er meer details over de verdachte zijn verzameld (bijv. gebruikersnamen, e-mails, afbeeldingen, enz.), kunnen onderzoekers teruggrijpen op de strategieën die voor alle onderzoekers beschikbaar zijn en die gegevens gebruiken om een OSINT-onderzoek te starten.

Zelfs met de beschikbaarheid van openbare gegevens en gegevens die met toestemming zijn verkregen, is het soms nodig om een bevelschrift aan te vragen om de gegevens van het account van een niet-coöperatieve verdachte te verkrijgen, afhankelijk van juridische overwegingen en lokale wetgeving.

De complicaties die gepaard gaan met het leveren van bevelschriften en andere juridische bezwaren, leiden ertoe dat sommige rechercheurs wat terughoudend zijn ten aanzien van de cloud. Om deze terughoudendheid te overwinnen en met lokale juridische experts te kunnen samenwerken en/of hen voor te lichten, raadt Jessica Hyde ten zeerste aan om de mogelijkheden van forensisch onderzoek in de cloud verder te verkennen. Dit kan gaan over de analyse van gegevens in de cloud of bijvoorbeeld het gebruik van cloud bronnen om analyses uit te voeren.

Hulpmiddelen voor uw cloud onderzoeken
Hoewel de uitdagingen die met cloud onderzoek gepaard gaan ontmoedigend kunnen zijn, hoeven rechercheurs deze uitdagingen niet helemaal alleen aan te gaan. Magnet Forensics en DataExpert helpen graag bij cloud onderzoeken.

Ook experts als Jessica Hyde zoeken naar mogelijkheden om hun kennis en vaardigheden rondom cloud onderzoek te vergroten. "Een tip die ik iedereen wil meegeven is de volgende: Ga op zoek naar een Cloud Goeroe of Mentor, iemand die een autoriteit is op dit gebied. Maak daarnaast gebruik van de gratis cursussen van leveranciers zoals Google of de infrapartner AWS. Elk van de cloud leveranciers biedt bovendien vaak de mogelijkheid om testaccounts op te zetten om de omgevingen te leren kennen. Daarnaast biedt Magnet Forensics in samenwerking met DataExpert aanvullende Cloud Forensics trainingen.”

De noodzaak om cloud logs in cloud omgevingen te onderzoeken, neemt alleen maar toe. Als je niet oplet, loop je in je onderzoek essentiële informatie mis. "Op een plaats delict of tijdens het doorzoeken van een pand van een verdachte zou ik nooit een USB-stick of harde schijf van 15 GB achterlaten, dus waarom zouden onderzoekers een Google-account van 15 GB ongemoeid laten? “, zegt Jessica Hyde.

Webinar serie
Magnet Forensics organiseert vanaf september tot en met november verschillende webinars rondom cloud onderzoek. Voor meer informatie klik hier.

Neem bij vragen over deze blog zeker contact met ons op.  

Deze website gebruikt cookies

We vinden het van groot belang dat u op de hoogte bent van welke cookies onze website inzet en voor welke doeleinden. Wij gebruiken Functional Cookies om onze website goed te laten functioneren. Daarnaast analyseren we d.m.v. Analytics Cookies het gebruik van onze website. Ook vragen we uw toestemming voor het plaatsen van cookies van derden (social media, advertising en analytics partners) waarmee we informatie delen. Door op ‘Accepteren’ te klikken, geeft u toestemming voor het plaatsen van de hiervoor genoemde cookies. Klikt u op ‘Instellingen’, dan wordt u geleid naar een pagina waar u kunt instellen welke cookies wel en niet geplaatst mogen worden. Klik hier voor onze privacyverklaring.