Kontakt

Nyheder

25 år med Digital Forensics, hvad har ændret sig? Vi spurgte Hans Heins.

Det er tydeligt, at verden af Digital Forensics ikke står stille. Feltet har udviklet sig fra håndskrevne breve til e-mails og fra fysisk kriminalitet til cyberkriminalitet. Hvordan har alle disse ændringer påvirket den digitale efterforskeres metoder og arbejde? Vi spurgte en gammel ven: Hans Heins.

Hvem er Hans Heins?
Hans er en Digital Forensic Investigator i hjertet. Han startede sin karriere hos politiet som sportsinstruktør, men befandt sig hurtigt i stillingen som taktisk efterforsker. Efter at have arbejdet i flere år for Rijkspolitie Hollands-Midden, flyttede han til Computer Crime Unit i Haag som IT Forensics Specialist i 1994, og endte til sidst på Politiakademiet som underviser/udvikler af Computer Forensics. Han blev et kendt ansigt for mange politibetjente på grund af sit arbejde der. I 2005 var det tid til noget nyt, og Hans arbejdede hos flere private efterforskningsfirmaer. Efter 12 år hos Hoffmann Corporate Investigations trak han sig tilbage fra virksomheden fra oktober 2022.

For 22 år siden, da Hans arbejdede som Digital Efterforskningsspecialist ved Politiuddannelsens Landsudvalgscenter i 2,5 år, havde vi allerede mulighed for at interviewe Hans. I interviewet fortalte han os, hvordan han introducerede EnCase til politiet som et af de første Digital Forensics-værktøjer. 22 år senere ser han tilbage med DataExperts André Hakkers på alle de forandringer, der er sket siden da.

Udviklingen inden for digital efterforskning
Da Hans begyndte at arbejde som Digital Investigator i 1994, var alle efterforskere i deres kamp mod computerkriminalitet en stor klodset bærbar computer. Softwarepakker som f.eks EnCase, FTK, AXIOM og Intella var ikke tilgængelige på det tidspunkt. På grund af det store antal forskellige computere og systemer, du stødte på dengang, var det derfor alt andet end let at sikkerhedskopiere fundne beviser på stedet.

Alligevel peger Hans på, at ikke så meget har ændret sig i den måde, du efterforsker på som Digital Investigator. »I mere end 30 år har en computer været et meget vigtigt vidne til at stille spørgsmålstegn ved. Det har ikke ændret sig. De spor, du kan finde på computere, er selvfølgelig forskellige. For eksempel gemmer Microsoft Word nu andre oplysninger, end det plejede. Nu har du autosave-funktionen, og i registreringsdatabasen og diverse andre systemfiler kan du finde ud af på hvilke tidspunkter dokumentet blev arbejdet på. Du kan også tjekke i en Excel-fil, hvor markøren var på et bestemt tidspunkt.’ En ændring, som Hans siger har gjort en stor forskel, er muligheden for at arbejde eksternt. Fordi ikke alt er lokalt længere, er der nu mere fleksibilitet.

Definitionen af digitale beviser er ifølge Hans også forblevet den samme. Du kan kun kalde det bevis fra det øjeblik, det er blevet fuldstændigt og retsmedicinsk korrekt sikret og korrekt håndteret på forenden. Naturligvis har filernes strukturer og egenskaber udviklet sig, men værktøjerne har udviklet sig med dem. I sidste ende er det dog efterforskeren, der bestemmer kvaliteten af efterforskningen, ikke de anvendte værktøjer.

Hans: »Jeg arbejdede engang på en sag, hvor en af de to parter bragte en WhatsApp-samtale, gemt som pdf, i retten som bevis. Modparten tilkendegav straks, at indholdet af samtalen ikke var autentisk, det vil sige manipuleret. I et sådant tilfælde begynder du at tjekke de fremlagte beviser nærmere.

Tre på hinanden følgende prikker i teksten (...) fangede mit øje. Disse prikker var for tæt sammen i forhold til den anden tekst. Zoom ind viste faktisk, at det ikke matchede, og det kunne konkluderes, at WhatsApp-teksten højst sandsynligt må være blevet ændret i et tekstbehandlingsprogram, muligvis Microsoft Word. Det blev ikke afsløret, hvad der præcist blev ændret, men det kunne i det mindste påvises, at WhatsApp-samtalen, der blev indbragt, umuligt kunne være autentisk. Bevisbyrden blev omvendt af dommeren, og den præsenterede WhatsApp-samtale blev til sidst børstet til side'.

De færdigheder og nysgerrighed, der skal til for at bemærke anomalier som dem, der er beskrevet ovenfor, er ikke anderledes end for f.eks. 25 år siden. Det er vigtigt, at du har den rette erfaring til at genkende sådanne sager for derefter at formulere dem passende over for retten.

Hans erkender, at mængden af data, der skal undersøges, er steget enormt gennem årene. Alligevel, siger han, er det vigtigt, at du stadig kopierer alle data på trods af den store mængde af dem. Sikring kan ofte kun laves én gang, og man ved ikke, hvad man mangler, hvis ikke man får det hele med. Et godt eksempel her er logfiler fra en webserver. Hvis du begrænser din logdatahentning til et par dage før og efter en bestemt hændelse, mangler du målet. Inden for en lang række undersøgelser af logfiler, udført af Hans, viste det sig, at den pågældende havde sat spor langt tidligere, nogle gange helt op til to måneder tidligere, hvilket viste sig at være afgørende for opklaringen af de foreliggende sager.

Mellem sit arbejde med politiet og sit arbejde med private organisationer som Hoffman mærkede Hans ikke rigtig en forskel gennem årene. Hans: 'Selvom emnet for en sag ofte er forskelligt mellem civil- eller straffesager, udfører du stadig det samme arbejde. Du undersøger de samme typer computere med de samme ressourcer og forensic værktøjer. I slutningen af linjen handler det om nullerne og etterne, at finde beviserne og udarbejde en juridisk holdbar rapport«.

Brug af værktøj gennem årene
I 1998 bragte en kollega til Hans et grafisk undersøgelsesværktøj tilbage fra Amerika til Holland. Dengang passede dette værktøj, EnCase 1.99, nemt på en diskette og kunne bruges i en offline digital retsmedicinsk efterforskning. Det var virkelig et banebrydende værktøj på det tidspunkt, med alle de muligheder, det gav, og det åbnede en helt ny verden for digitale efterforskere. Før fremkomsten af EnCase brugte politiet kommandolinjeværktøjer såsom Snapback til at sikkerhedskopiere data til bånd og Disksearch, som gjorde det muligt at søge efter op til 128 ord ad gangen. Med Encase kunne computerdata sikres, behandles offline og gøres søgbare i et grafisk Windows-miljø. Dette gjorde det muligt at gennemføre undersøgelser betydeligt hurtigere og også forenklet analyse. For eksempel behøvede zip-filer ikke længere udpakkes manuelt.

Efter EnCase kom andre, hovedsageligt amerikanske, leverandører hurtigt med værktøjer, som resten af verden, som Hans beskriver det, 'sugede op som en svamp'. Eksempler omfatter værktøjerne fra Accessdata. Allerede dengang var FTK i stand til at indeksere alle ord i en offline kopi, så du lynhurtigt kan få svar på alle søgeforespørgsler. PRTK var på det tidspunkt (og er stadig) et meget praktisk værktøj til gendannelse af adgangskode.

Efterhånden er værktøj en integreret del af en Digital Investigators arbejde. Hans: 'Som Digital Investigator skal du have en fuld værktøjskasse. Der er ikke et enkelt værktøj, der kan alt. Hvert værktøj har sin egen specifikke funktionalitet. I den forbindelse er det også vigtigt at sammenligne resultaterne af værktøjer«. Hans understreger vigtigheden af at vide præcis, hvad dine værktøjer kan, og hvad begrænsningerne er. Ifølge ham bør dette tjekkes med hver ny værktøjsopdatering. Noget der nogle gange springes over i praksis.

Så hvad skal der være i værktøjskassen? Det afhænger ifølge Hans helt af typen af undersøgelse. Hvis du har at gøre med en undersøgelse, hvor kommunikation er nøglen (tænk på en e-mail-udveksling), så er Intella, til eksempel et godt værktøj. Specielt med fremkomsten af OCR (Optical Character Recognition) tilbyder Intella fremragende muligheder for at søge kommunikationsdata. Hans understreger: 'Søger du på ordet faktura, kan du meget vel finde ingen eller for lidt relevante data. Du bør kigge efter en notation, der bruges af en ukendt tredjepart. De kan have brugt en diminutiv form, eller et synonym som "regning" eller "kvittering" kan være blevet brugt. Så med værktøjer skal du stadig være smart om, hvordan du bruger dem«.

Endvidere nævner Hans AXIOM som en meget velegnet softwareløsning til at forstå en masse Windows-artefakter. Ud over EnCase stadig er et særdeles velegnet værktøj til sager, hvor man som Digital Investigator virkelig ønsker at lave et 'dyb-dykke' i data. Til Mobile Forensics undersøgelser, syntes Hans Cellebrite og Oxygen Forensic Detective er vidunderlige løsninger. Det er dog stadig en udfordring at få adgang til mobiltelefoner. Efterforskningsbureauer er i disse dage heldige at have GrayKey for det, men det gør private organisationer som Hoffman ikke.

Hvad kan forbedres i fremtiden?
Især i civile sager accepteres digitalt bevis, der indføres, hurtigt som bevis. Også selvom det ikke er anskaffet, håndteret og/eller præsenteret på en forensic korrekt måde. Det er Hans ikke okay med. Det er her, retten bør være mere kritisk. Faktisk, for både civile og straffesager, bør en certificeret Digital Forensic Investigator sikre beviserne, undersøge dem og rapportere resultaterne. »Der er masser af mennesker derude, som ved, hvordan man bruger en computer til at skabe eller forfalske beviser. Hvis indsatsen er høj nok, sker der ofte snyd. Det går opdaget 9 ud af 10 gange, fordi advokater og dommere med al respekt er for uvidende, når det kommer til digital bevisførelse', siger Hans.

Det ville være godt, hvis Digital Forensic Investigators havde både den tekniske viden og tankegangen som en Tactical Investigator. I dag ser Hans stadig ofte, at de har en af de andre. Netop ved at kombinere begge dele kan der stilles de rigtige spørgsmål i søgningen efter beviser.

Hans finder det også beklageligt, at samarbejdet mellem organisationer er alt for sjældent i praksis. Især når private og offentlige organisationer er involveret. Det er netop ved at udveksle visse oplysninger, at du kan se det store billede.

Tips fra Hans
Et tip, Hans gerne vil gøre indtryk på alle digitale efterforskere, er: 'Fortsæt med at arbejde grundigt! Få bekræftet én ting, så spørg dig selv, hvad der ellers er sket’.

Nogle gange skal man også bare være heldig. Hans: 'I en stalkingundersøgelse blev anonyme e-mails modtaget af en leder af en mellemstor virksomhed undersøgt. På baggrund af indholdet af stalkerens e-mails kunne det fastslås, at e-mailene skal være skrevet af en medarbejder i virksomheden. Stalkeren havde oplysninger om direktøren, der var meget privat og også direkte relateret til virksomheden. Mens vi stadig havde travlt med at lave en omfattende digital undersøgelse på virksomhedens computernetværk, fandt rengøringsdamen på et tidspunkt en boblekuvert i en affaldsspand og spurgte sin leder, om hun måtte tage den med til genbrug privat. Afsenderen af den kuvert var et firma kaldet Keelog fra Polen. Heldigvis hæftede direktøren sig ved ordet 'keelog', fordi jeg havde droppet udtrykket Key Logger under en diskussion med hende. Efter at have besøgt virksomhedens hjemmeside, viste det sig, at Keelog blandt andet sælger usb-nøgleloggere. Én plus én bliver til to, og efter nærmere undersøgelse viste adressaten sig faktisk at være den medarbejder, vi ledte efter. Det handlede nu ikke kun om stalking. Efter omfattende digital efterforskning viste det sig, at en nøglelogger var blevet tilsluttet næsten alle kvindelige medarbejderes kontorcomputere. Takket være renseren kunne denne sag løses’.

Desuden bør man ifølge Hans altid blive ved med at tænke ud af boksen. 'Mange værktøjer derude tilbyder nu support til de mest populære/brugte apps, såsom WhatsApp. Du kan dog også kommunikere via chatfunktionen i Wordfeud f.eks. Hvis forensic software ikke understøtter en bestemt app, behandles den pågældende apps database ikke, og indholdet præsenteres ikke separat, som det faktisk altid er tilfældet med WhatsApp. I sådanne tilfælde vil potentielle beviser sandsynligvis blive overset. Faktisk bør du, udover at analysere de smukt præsenterede data fra almindeligt anvendte apps, altid manuelt visualisere, hvilke apps der er installeret, og hvilke af dem der kan indeholde værdifuld information. Dette er en særlig tidskrævende og besværlig opgave, hvorfor dette trin nogle gange bliver ’glemt’. Nogle gange skal du også bruge flere værktøjer. En Cellebrite-kopi af en iPhone kan læses ind i Intella. Med Intella kan du meget nemmere søge efter relevante søgetermer, og alle billeder OCR-behandles også. Mange gange har vi, takket være OCR, fundet søgetermer i billeder/skærmbilleder, som viste sig at være afgørende.'

Udover forslag til den ideelle arbejdsmetode, giver Hans også nogle tips om praktiske, billige eller gratis værktøjer, der kan være nyttige under en Digital Forensics-undersøgelse:

  • KAPE– Kroll Artifact Parser and Extractor: automatiserer hentning, behandling og indsigt i Windows-artefakter. Kan også bruges perfekt som triageværktøj.
  • Zimmerman-værktøjer: Manden bag KAPE, Eric Zimmerman, har gjort adskillige nyttige værktøjer tilgængelige på Github til digital efterforskning.
  • Diff doc: er ikke et retsmedicinsk værktøj, men kan f.eks. meget hurtigt vise forskellene mellem tilsyneladende lignende Excel-filer. Super praktisk, da dette næsten er umuligt at gøre manuelt/visuelt.
  • USB Detective: et fremragende værktøj til at undersøge USB-artefakter, der rækker ud over f.eks. AXIOM.
    Forensic Explorer: ligner meget EnCase i brug. Kan meget nemt se alle Volume Shadow Copies og kun vise de unormale filer.

Kontakt
Ligesom Hans tænker Digital Forensics-eksperterne hos DataExpert gerne sammen med dig om, hvordan Digital Forensics kan blive enklere og bedre, og hvilke værktøjer der kan understøtte i processen. Vil du have en diskussion om dette? Så kontakt os gerne

Denne hjemmeside bruger cookies

Vi mener, at det er meget vigtigt, at du ved, hvilke cookies der anvendes på vores hjemmeside og til hvilke formål. Vi bruger funktionelle cookies for at få vores hjemmeside til at fungere korrekt. Derudover bruger vi Analytics-cookies til at analysere brugen af vores hjemmeside. Vi beder også om dit samtykke til at placere cookies fra tredjeparter (sociale medier, reklame- og analysepartnere), som vi deler oplysninger med. Ved at klikke på "Accepter" accepterer du, at ovenstående cookies placeres. Hvis du klikker på "Indstillinger", vil du blive ført til en side, hvor du kan angive, hvilke cookies der må og ikke må placeres. Klik her for at se vores erklæring om beskyttelse af personlige oplysninger.