Disclaimer: We hebben geen live-onderzoek uitgevoerd. Dit was een onderdeel van onze universitaire opdracht, waarin we de rol van forensisch onderzoeker op ons namen en bepaalden welke methoden van toepassing waren. U bent welkom om met uw eigen bevindingen te komen en de zaak op te lossen. We hebben geprobeerd de globale methodologie te volgen, en te illustreren hoe een basis forensisch onderzoeksrapport eruit moet zien.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Inleiding
Computertechnologie is het belangrijkste integrale onderdeel van het dagelijks menselijk leven, en het groeit snel, evenals computercriminaliteit zoals financiële fraude, ongeoorloofde inbraak, identiteitsdiefstal en intellectuele diefstal. Om deze computercriminaliteit tegen te gaan, speelt Computer Forensics een zeer belangrijke rol. “Computer Forensics omvat het verkrijgen en analyseren van digitale informatie voor gebruik als bewijsmateriaal in civiele, strafrechtelijke of administratieve zaken (Nelson, B., et al., 2008)”.
Een Computer Forensisch Onderzoek onderzoekt in het algemeen de gegevens die van harde schijven of andere opslagapparaten van computers kunnen worden gehaald, met inachtneming van standaardbeleid en -procedures om te bepalen of die apparaten al dan niet door onbevoegde toegang zijn gecompromitteerd. Computer Forensic Investigators werken in teamverband om het incident te onderzoeken en de forensische analyse uit te voeren met behulp van verschillende methodologieën (bijv. statisch en dynamisch) en instrumenten (bijv. ProDiscover of Encase) om ervoor te zorgen dat het computernetwerksysteem in een organisatie veilig is. Een succesvolle Forensisch Onderzoeker moet bekend zijn met verschillende wetten en voorschriften in verband met computercriminaliteit in zijn land (b.v. Computer Misuse Act 1990, UK) en verschillende computerbesturingssystemen (b.v. Windows, Linux) en netwerkbesturingssystemen (b.v. Win NT). Volgens Nelson, B., e.a., (2008) zijn openbare onderzoeken en particuliere of bedrijfsonderzoeken de twee onderscheiden categorieën die onder Computer Forensics Investigations vallen. Openbare onderzoeken worden uitgevoerd door overheidsinstanties, en particuliere onderzoeken worden uitgevoerd door particuliere forensische computerteams. Dit rapport zal worden toegespitst op particuliere onderzoeken, aangezien er een incident heeft plaatsgevonden bij een nieuw opstartend MKB-bedrijf in Luton.
Dit rapport bevat ook een model voor computeronderzoek, gegevensverzamelingen en de soorten gegevensverzamelingen, het verzamelen van bewijsmateriaal, forensische instrumenten, kwaadwillig onderzoek, juridische aspecten van computerforensisch onderzoek, en ten slotte bevat dit rapport ook de nodige aanbevelingen, tegenmaatregelen en beleidsmaatregelen om ervoor te zorgen dat dit MKB-bedrijf in een veilige netwerkomgeving wordt geplaatst.
Casestudie
Een nieuwe beginnende KMO (small-medium enterprise) gevestigd in Luton met een E-government model is onlangs begonnen met het opmerken van anomalieën in zijn boekhouding en productadministratie. Het bedrijf heeft een eerste controle van de systeemlogbestanden uitgevoerd, en er zijn een aantal verdachte vermeldingen en IP-adressen met een grote hoeveelheid gegevens die buiten de bedrijfsfirewall worden verzonden. Het bedrijf heeft onlangs ook een aantal klachten van klanten ontvangen over het feit dat er vaak een vreemd bericht wordt weergegeven tijdens de verwerking van de bestelling en dat zij vaak worden omgeleid naar een betaalpagina die er niet legitiem uitziet.
Het bedrijf maakt gebruik van een e-businesspakket voor algemene doeleinden (OSCommerce) en beschikt over een klein team van zes IT-ondersteuningsmedewerkers, maar het bedrijf is van mening dat het niet over de deskundigheid beschikt om een volledig malware/forensisch onderzoek uit te voeren.
Omdat de concurrentie in de hightechsector toeneemt, wil het bedrijf er zeker van zijn dat zijn systemen niet worden gecompromitteerd en heeft het een digitaal forensisch onderzoeker in de arm genomen om na te gaan of er kwaadaardige activiteiten hebben plaatsgevonden en om zich ervan te vergewissen dat er geen malware in zijn systemen aanwezig is.
Jouw taak is om de vermoedens van het team te onderzoeken en het team een voorstel te doen hoe zij de met malware besmette machines kunnen desinfecteren, en om ervoor te zorgen dat er geen andere machines in hun gebouwen of op het netwerk zijn besmet. Het team wil ook dat u een digitaal forensisch onderzoek uitvoert om te zien of u de oorzaak van de problemen kunt achterhalen, en zo nodig een zaak tegen de daders voor te bereiden.
Het bedrijf gebruikt Windows Server NT voor zijn servers. Patches worden toegepast door de IT-ondersteuning team op een maandelijkse basis, maar het team heeft gemerkt dat een aantal machines lijken niet te zijn gepatcht.
Deliverables
Uw deliverable in deze opdracht is een rapport van 5.000 woorden waarin u bespreekt hoe u het volgende zou aanpakken:
– Malware-onderzoek
– Digitaal forensisch onderzoek
U moet een algemeen overzicht geven van de methodologie die u zult gebruiken, en een beredeneerd argument geven waarom de gekozen specifieke methodologie relevant is.
U moet ook ingaan op het proces dat u zult gebruiken om bewijsmateriaal te verzamelen en de relevante richtlijnen bespreken die moeten worden gevolgd bij het verzamelen van digitaal bewijsmateriaal.
Als een discussie in uw verslag moet u ook een kritische evaluatie geven van de bestaande hulpmiddelen en technieken die worden gebruikt voor digitale forensische of malware-onderzoeken en hun effectiviteit evalueren, waarbij u kwesties bespreekt als de consistentie van de gekozen benaderingen, de vaardigheden die nodig zijn voor de forensische onderzoekers, en de problemen die verband houden met de bestaande methodologieën (vooral met betrekking tot het ontbreken van één gemeenschappelijke wereldwijde aanpak voor het uitvoeren van dergelijke onderzoeken en de problemen die kunnen ontstaan wanneer er behoefte is om een onderzoek uit te voeren dat internationale grenzen overschrijdt).
Association of Chief Police Officers (ACPO)
Dit forensisch onderzoek zal worden uitgevoerd volgens de richtlijnen van de Association of Chief Police Officers (ACPO) en ook volgens de vier ACPO-beginselen. Er zijn vier ACPO-beginselen die betrekking hebben op computergestuurd elektronisch bewijs. Deze beginselen moeten worden gevolgd wanneer iemand forensisch computeronderzoek uitvoert. De samenvatting van die principes zijn als volgt (ACPO, 2013);
Principe 1: Gegevens die in een computer of opslagmedium zijn opgeslagen, mogen niet worden gewijzigd of veranderd, omdat die gegevens later voor de rechter kunnen worden gepresenteerd.
Principe 2: Een persoon moet bekwaam genoeg zijn in het omgaan met de originele gegevens die op een computer of opslagmedium worden bewaard als dat nodig is, en hij/zij moet ook in staat zijn om het bewijs te leveren waarin de relevantie en het verloop van zijn/haar handelingen worden uitgelegd.
Principe 3: Er moet een controlespoor of andere documentatie van alle processen die op computergebaseerd elektronisch bewijs zijn toegepast, worden gemaakt en bewaard. Een onafhankelijke derde partij moet deze processen kunnen onderzoeken en hetzelfde resultaat bereiken.
Principe 4: Een persoon die verantwoordelijk is voor het onderzoek moet de algehele verantwoordelijkheid hebben voor de verantwoording dat de wet en de ACPO-beginselen worden nageleefd.
Computer Investigation Model
Volgens Kruse II, W.G., en Heiser, J.G. (2010), bestaat een computeronderzoek uit het identificeren van het bewijsmateriaal, het bewaren van dat bewijsmateriaal, het extraheren ervan, het documenteren van elk proces, het valideren van dat bewijsmateriaal en het analyseren ervan om de hoofdoorzaak te vinden en op basis daarvan aanbevelingen of oplossingen aan te dragen.
“Computer Forensics is een nieuw gebied en er is minder standaardisatie en consistentie in de rechtbanken en de industrie” (US-CERT, 2012). Elk forensisch computermodel is gericht op een bepaald gebied, zoals rechtshandhaving of het opsporen van elektronisch bewijsmateriaal. Er is niet één digitaal forensisch onderzoeksmodel dat universeel is aanvaard. Wel is algemeen aanvaard dat het digitale forensische model flexibel moet zijn, zodat het elk type incidenten en nieuwe technologieën kan ondersteunen (Adam, R., 2012).
Kent, K., et.al, (2006) ontwikkelde een digitaal forensisch basisonderzoeksmodel genaamd het Four Step Forensics Process (FSFP) met het idee van Venter (2006) dat digitaal forensisch onderzoek zelfs door niet-technische personen kan worden uitgevoerd. Dit model biedt meer flexibiliteit dan alle andere modellen, zodat een organisatie het meest geschikte model kan kiezen op basis van de situaties die zich voordoen. Dit zijn de redenen waarom wij dit model voor dit onderzoek hebben gekozen. FSFP bevat de volgende vier basisprocessen, zoals weergegeven in de figuur:
Figuur 1: FSFP Forensic Investigation Model
Bron: Kent, K., et.al, (2006)
De pijlmarkering “Bewaren en documenteren van bewijsmateriaal” geeft aan dat we alle bewijsmateriaal tijdens het onderzoek moeten bewaren en documenteren, omdat dit in sommige gevallen als bewijsmateriaal aan de rechtbank kan worden voorgelegd. We zullen elk proces of elke fase van het FSFP-onderzoeksmodel in de volgende secties bespreken.
Scope of Investigation
De scopes van het forensisch onderzoek voor deze zaak zijn als volgt:
- Het identificeren van de kwaadaardige activiteiten met betrekking tot de 5W’s (Waarom, Wanneer, Waar, Wat, Wie).
- Het beveiligingsgebrek in hun netwerk vaststellen.
- De gevolgen achterhalen als het netwerksysteem is gecompromitteerd.
- De juridische procedures vaststellen, indien nodig.
- Het herstelmaatregelen aanreiken om het systeem te harden.
Wettelijke uitdagingen van het onderzoek
Volgens Nelson, B., et al., (2008) zijn de juridische uitdagingen voordat we met ons forensisch onderzoek beginnen, de volgende:
-
Bepalen of rechtshandhavingsassistentie nodig is, en zo ja, dan kunnen zij beschikbaar zijn voor assistentie tijdens het onderzoek, of anders moeten we het onderzoeksverslag aan hen voorleggen aan het eind van het onderzoek.
-
Het verkrijgen van schriftelijke toestemming om het forensisch onderzoek uit te voeren, tenzij er sprake is van een andere procedure voor toestemming voor incidentenbestrijding.
-
Overleg met de juridische adviseurs om de mogelijke problemen vast te stellen die zich kunnen voordoen bij een onjuiste afhandeling van het onderzoek.
-
Ervoor zorgen dat rekening wordt gehouden met de vertrouwelijkheid en privacy van de klant.
Initiële voorbereiding
Het is duidelijk dat we, voordat we met het onderzoek beginnen, een voorbereiding moeten hebben om het onderzoek efficiënt te kunnen uitvoeren. Dit wordt beschouwd als een proactieve maatregel van onderzoek (Murray, 2012). In de voorbereidingsfase moeten de volgende stappen worden genomen:
-
Verzameling van alle beschikbare informatie over de beoordeling van het incident, zoals de ernst van het incident.
-
vaststellen van de gevolgen van het onderzoek voor het MKB, zoals de uitvaltijd van het netwerk, de duur van het herstel na het incident, inkomstenderving en verlies van vertrouwelijke informatie.
-
Informatie inwinnen over de netwerken, netwerkapparatuur zoals router, switches, hub, enz, documentatie over de netwerktopologie, computers, servers, firewall en netwerkdiagram.
-
Opsporen van externe opslagapparaten zoals pen drive, flash drive, externe harde schijf, cd, dvd, geheugenkaarten en externe computer.
-
Opsporen van de forensische instrumenten die bij dit onderzoek kunnen worden gebruikt.
-
Opnemen van live-netwerkverkeer voor het geval de verdachte activiteiten nog steeds lopen met “netmon”-tools.
-
Het documenteren van alle activiteiten tijdens het onderzoek, dat in de rechtbank kan worden gebruikt om de tijdens het onderzoek gevolgde handelwijze te verifiëren.
-
Het maken van grafische opnamen van de harde schijf van de doelapparatuur en het hashen ervan met MD5 voor gegevensintegriteit.
Verzameling
“De verzamelfase is de eerste fase van dit proces, waarin gegevens uit de mogelijke bronnen van relevante gegevens worden geïdentificeerd, gelabeld, geregistreerd en verkregen, waarbij richtlijnen en procedures worden gevolgd die de integriteit van de gegevens waarborgen” (CJCSM 6510.01B, 2012). Er zijn twee verschillende soorten gegevens die kunnen worden verzameld in een computer forensisch onderzoek. Dit zijn vluchtige gegevens en niet-vluchtige gegevens (persistente gegevens). Vluchtige gegevens zijn gegevens die bestaan wanneer het systeem is ingeschakeld en worden gewist wanneer het wordt uitgeschakeld, bijvoorbeeld Random Access Memory (RAM), register en caches. Niet-vluchtige gegevens zijn gegevens die op een systeem bestaan wanneer het aan- of uitgeschakeld is, bv. documenten in HD. Aangezien vluchtige gegevens een korte levensduur hebben, moet een forensisch computeronderzoeker weten wat de beste manier is om ze vast te leggen. Bewijsmateriaal kan lokaal of op afstand worden verzameld.
Volatile Data
De volgende figuur laat zien hoe de volatile data moeten worden vastgelegd. Het forensisch werkstation moet zich in hetzelfde LAN bevinden waar de doelmachine, in dit geval de Windows NT Server, zich bevindt. Cryptcat’ tools kunnen worden gebruikt in het forensisch werkstation om te luisteren naar de poort van de Windows NT server. Maak het vertrouwde optische station van de toolset aan in de Windows NT server en open de vertrouwde console cmd.exe en gebruik het volgende commando:
cryptcat <ip address> 6543 -k key
Om de gegevens op te vangen op het forensisch werkstation, gebruiken we het volgende commando:
cryptcat -l -p 6543 -k key >> <bestandsnaam>
Figuur 2: Volatile data collection setup
Bron: Reino, A., (2012)
De volgende tabel toont de tools van de grafische gebruikersinterface en hun gebruik en uitkomst kunnen worden gebruikt in het forensisch computeronderzoek.
Tabel 1: Volatile Data Forensic Tools en hun gebruik en uitkomst
Bron: Reino, A., (2012)
We gebruiken ook verschillende Windows-gebaseerde tools om de vluchtige gegevens als volgt vast te leggen:
HBGray’s FastDump – Lokale fysieke geheugen acquisitie.
HBGray’s F-Response – Remote fysieke geheugen acquisitie
ipconfig – Verzamelen van subject systeem details.
netusers en qusers – Identificeren van ingelogde gebruikers
doskey/history – Verzamelen van commandogeschiedenis
netfile – Identificeren van de services en drivers
Tot slot is het verzamelen van de inhoud van het klembord ook erg belangrijk in een computer forensisch onderzoek. Er kan meer bewijs worden gevonden van een machine die nog draait, dus als de anomalieën er nog zijn in het MKB, dan kunnen we veel belangrijk bewijs halen uit de draaiende processen, de netwerkverbinding en de gegevens die zijn opgeslagen in het geheugen. Er is veel bewijs wanneer de machine zich in de vluchtige toestand bevindt, en dus moet ervoor worden gezorgd dat de getroffen computers niet worden afgesloten om dergelijk bewijs te verzamelen.
Niet-Vluchtige Gegevens
Wanneer de vluchtige gegevens zijn opgevangen, dan zullen we kijken naar de niet-vluchtige gegevens. De eerste stap in het verzamelen van niet-vluchtige gegevens is het kopiëren van de inhoud van het gehele doelsysteem. Dit wordt ook wel “forensische imaging” genoemd. Beeldvorming helpt om de oorspronkelijke gegevens als bewijs te bewaren zonder storingen of veranderingen in de gegevens die zich voordoen tijdens het forensisch onderzoek. Forensische imaging wordt gecreëerd door forensische tools zoals EnCase, ProDiscover en FTK. Een forensisch onderzoeker gebruikt een schrijfblokkering om verbinding te maken met het doelsysteem en kopieert de volledige inhoud van de doelschijf naar een ander opslagapparaat met behulp van een van deze forensische tools. Het klonen van harde schijven is niets anders dan het maken van een duplicaat van het gehele systeem. Het verschil tussen forensische imaging en het klonen van harde schijven is dat forensische imaging niet toegankelijk is zonder forensische tools, maar het klonen van harde schijven wel met een mount drive. Het klonen van harde schijven bevat alleen een onbewerkte image, en elke bit wordt gekopieerd, en er wordt geen andere extra inhoud toegevoegd. Forensic imaging bevat metadata, zoals hashes en timestamps, en comprimeert alle lege blokken. Forensic imaging zal hashen met MD5 of SHA-2 om de integriteit van digitaal bewijsmateriaal te waarborgen (Nelson, B., et al., 2008).
Het verzamelen van gegevens kan worden gedaan in offline onderzoek en online onderzoek. Forensische beeldvorming kan worden gedaan met offline onderzoek. Live netwerkverkeer kan worden gedaan met online onderzoek met behulp van ethereal of Wireshark tools. Firewall logs, antivirus logs, en domein controller logs zullen worden verzameld voor het onderzoek onder de niet-vluchtige gegevens verzameling. Wij verzamelen ook webserverlogboeken, Windows eventlogboeken, databaselogboeken, IDS-logboeken en toepassingslogboeken. Zodra wij alle digitale bewijzen hebben verzameld, moeten deze worden gedocumenteerd in de chain of the custody logdocumentatie. Chain of the custody log documentatie is om de integriteit van het bewijsmateriaal te bewaren van begin tot eind van het onderzoek totdat dit onderzoeksrapport wordt gepresenteerd (Nelson, B., et al., 2008).
Voordat we verdere processen uitvoeren, moeten we de schijf bit voor bit imagen, wat toegang geeft tot het hele volume en de originele media kopieert, inclusief de verwijderde bestanden. Nadat de schijf is geïmaged, moeten we alles hashen, zodat we zeker weten dat de gegevens authentiek zijn en de integriteit van de gegevens gedurende het onderzoek behouden blijft. De hash-waarden moeten op verschillende plaatsen worden geregistreerd en wij moeten ervoor zorgen dat wij geen wijzigingen in de gegevens aanbrengen vanaf het tijdstip waarop de gegevens zijn verzameld tot het einde van het onderzoek. De meeste hulpmiddelen helpen daarbij door de media in een alleen-lezen toestand te benaderen (SANS, 2010). De harde schijven van het doelsysteem, externe opslagapparaten en de harde schijf van de Windows NT-server moeten worden verkregen voor het digitaal forensisch onderzoek in dit geval.
Onderzoek
Nadat we al het beschikbare bewijsmateriaal hebben verzameld, moeten we het onderzoek uitvoeren met behulp van verschillende forensische onderzoekshulpmiddelen voor computers. We onderzoeken ook het bestandssysteem, Windows register, Netwerk en Database forensisch onderzoek, als volgt:
Bestandssysteem Onderzoek
NTFS is het New Technology File System en NTFS Disk is een bestand. MFT is de Master File Table die informatie bevat over alle bestanden en schijven, en het is ook het eerste bestand in NTFS. De records in de MFT worden ook wel metadata genoemd. Metadata zijn gegevens over gegevens (Nelson, B., et. al., 2008). Bestanden kunnen op twee manieren in MFT worden opgeslagen: resident en non-resident. Een bestand dat kleiner is dan 512 bytes kan worden ondergebracht in MFT als residente bestanden en een bestand dat groter is dan 512 bytes kan buiten de MFT worden opgeslagen als niet-residente bestanden. Wanneer een bestand wordt verwijderd in Windows NT, zal het bestand door OS worden hernoemd en naar de prullenbak worden verplaatst met een unieke identiteit. OS slaat informatie over het oorspronkelijke pad en de oorspronkelijke bestandsnaam op in info2 bestand. Maar als een bestand wordt verwijderd uit de Prullenbak, dan worden de bijbehorende clusters gemarkeerd als beschikbaar voor nieuwe gegevens. NTFS is efficiënter dan FAT, omdat het de verwijderde ruimte sneller terugwint. NTFS-schijven zijn een gegevensstroom, wat betekent dat ze kunnen worden toegevoegd aan een ander bestaand bestand. Een datastream-bestand kan als volgt worden opgeslagen:
C:echo text_mess > file1.txt:file2.txt
Dit bestand kan worden opgehaald met het volgende commando:
C:more < file1.txt:file2.txt
W2K.Stream en Win2K.Team zijn virussen die zijn ontwikkeld door gebruik te maken van een datastroom. Als onderzoeker moeten we ons grondig bewust zijn van de Windows bestandssystemen FAT en NTFS (Nelson, B., et. al., 2008).
Windows Register Onderzoek
Volgens (Carvey, H., 2005) kan een register worden behandeld als een logbestand omdat het gegevens bevat die door een forensisch onderzoeker kunnen worden opgevraagd de bijbehorende sleutelwaarden worden de “Lastwrite” tijd genoemd, die wordt opgeslagen als FILETIME en wordt beschouwd als de laatste wijzigingstijd van een bestand. Bij bestanden is het vaak moeilijk om een precieze datum en tijd van bestandswijziging te achterhalen, maar de Lastwrite laat zien wanneer het register voor het laatst werd gewijzigd. Fantastisch zal een aantal bepaalde stappen (Carvey, H., 2005) die hieronder zijn opgesomd om het Windows-register van de organisatie te analyseren om ervoor te zorgen het probleem binnen en buiten de organisatie bekend zijn en worden opgelost om de reputatie van het bedrijf te beschermen en te behouden.
Windows-register is een volgorde van databases in een computer gebruikt door Microsoft in Windows 98, Windows CE, Windows NT en Windows 2000 aan een gebruiker of gebruiker toepassing en hardware-apparaten configuratie op te slaan, die wordt gebruikt als een referentiepunt tijdens de uitvoering van een programma of processen (Windows, 2013). De gemeenschappelijke structuur van het Windows-register is onderverdeeld in “Hives”, die zijn:
-
HKEY_CLASSES_ROOT: zorgt ervoor dat de vereiste programma’s worden uitgevoerd.
-
HKEY_CURRENT_USER: bevat algemene informatie van een gebruiker die momenteel op het systeem is aangemeld.
-
HKEY_LOCAL_MACHINE: bevat informatie over hardware, schijven enz. van een systeem.
-
HKEY_USERS: bevat alle informatie van gebruikers op een bepaald systeem.
-
HKEY_CURRENT_CONFIG: slaat informatie op over de huidige configuratie van het systeem.
Het Windows-register bestaat uit vluchtige en niet-vluchtige informatie. Dit betekent dat een onderzoeker op zijn minst bekend moet zijn met elke betekenis en functionaliteit van de hives, sleutels, gegevens en waarden van een Windows-register voordat hij een forensisch onderzoek van een computer uitvoert om een succesvol forensisch onderzoeksrapport te verkrijgen.
Autostart-locatie: is een locatie in het register waar de toepassingen worden ingesteld om te worden gestart zonder dat een gebruiker hiertoe opdracht geeft. Met deze functionaliteit kan malware die Luton SME aantast, blijven draaien wanneer de machine wordt aangezet zonder directe interactie van de gebruiker omdat het al geprogrammeerd was om zichzelf automatisch te starten of wanneer een gebruiker een aantal specifieke commando’s of processen uitvoert.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option is een Windows register waarin een aanvaller de sleutel kan gebruiken voor het omleiden van een originele kopie van een applicatie naar zijn trojaanse kopie (Carvey, H., 2005). Luton SME zou onder deze aanval kunnen vallen: een omleiding van de betaalpagina van de klant naar een onwettige.
Een forensisch onderzoeker kan de autostart locatie onderzoeken om te bepalen of het Luton SME probleem het gevolg is van een actie uitgevoerd door een gebruiker, een malware of door een aanvaller op de organisatie. Volgens (Carvey, H., 2005) is de betrouwbare manier om toegang te krijgen tot de autolocatie het gebruik van AutoRuns tools van SysInternals.com die een lijst kan geven van autostart locaties.
Gebruikersactiviteit: actie en activiteiten van een gebruiker kunnen worden onderzocht in de HKEY_CUREENT_USER hive die is gemaakt van HKEY_USERSID hive. Gebruikersinformatie wordt toegewezen aan de HKEY_CURRENT_USER. De NTUSER.DAT bevat informatie over de instellingen van de registerspecificatie van een gebruiker. Onderzoek van deze hive geeft een forensisch onderzoeker een goede aanwijzing van activiteiten en acties van een gebruiker.
Most Recent Used (MRU) List: MRU houdt recente specifieke acties bij die door een gebruiker zijn ondernomen en houdt de activiteiten bij voor toekomstige referentie. Bijvoorbeeld, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU houdt een lijst bij van uitgevoerde commando’s die door een gebruiker zijn uitgevoerd. Elk uitgevoerd commando in de run box voegt een key value entry toe aan de hive, zoals hieronder getoond:
Figuur3: Inhoud van de sleutel ExplorerRunMRU.
Bron: Carvey, H., (2005)
Een forensisch onderzoeker kan deze hive bestuderen om de lastwrite-tijd van elk commando uit de MRU-lijst te halen, zoals hierboven is weergegeven. Hiermee kan de SME Luton onderzoeker aan de hand van het register analyseren of het gebruikersactiviteit, een malware actie of een aanval was die de organisatie aantast.
UserAssist: volgens (Carvey, H., 2005) UserAssist, te vinden onder de hives HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist, bestaat uit twee sleutels die er in het algemeen uitzien als globally unique identifiers die versleutelde records bijhouden van elk object, applicatie, etc. waartoe een gebruiker toegang heeft gehad op het systeem. Als een onderzoeker toegang heeft gehad tot het versleutelde record, dat niet langer definitief is, zou het kunnen wijzen op een of andere actie die de gebruiker heeft ondernomen om de malware te activeren via een applicatie of een andere activiteit die hij zou kunnen hebben gedaan.
USB removable Storage: volgens Farmer, College and Vermont (2008) worden alle apparaten die op het systeem zijn aangesloten, bijgehouden in een computerregister onder de volgende sleutel HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. De onderstaande figuur toont een voorbeeld van drive ID’s van een USB thumb drive:
Figuur4: Voorbeeld van de inhoud van een USBSTOR-sleutel, met de apparaatinstantie-ID’s.
Bron: Carvey, H., (2005)
Met behulp van de hives van de gemounte schijf, zal een onderzoeker een aanwijzing hebben wanneer hij/zij de apparaat ID inhoud analyseert die in het register wordt bijgehouden om te weten welk apparaat was gemount op de Luton MKB organisatie. Met aanhoudend onderzoek van elke waardesleutel, kan een onderzoeker verwijderbare USB-opslagapparaten identificeren en ze toewijzen aan de parentidprefix.
Draadloze SSID’s: Volgens (Carvey, H., 2005) kunnen SSID’s van draadloze netwerken die op een computer worden gebruikt, worden gevonden onder HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Wanneer naar sleutelwaarden wordt genavigeerd, bevatten deze subsleutels die lijken op globally unique identifiers, die, wanneer geopend, een onderzoeker kan navigeren naar de ActiveSettings die elk draadloos SSID onthult in de vorm van een binair gegevenstype. Wanneer met rechts wordt geklikt om te wijzigen, worden de SSID’s in gewoon geschreven formaat onthuld. Hoewel het IP-adres en andere netwerkinformatie te vinden zijn onder HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, kan een onderzoeker deze informatie gebruiken om een gebruiker in de Luton MKB organisatie te koppelen aan een bepaald tijdsbestek als het IP-adres van de persoon blijkt te zijn ontdekt onder het bovenstaande Window-register.
Windows register kan ook een vitale bron van bewijs zijn in een forensisch onderzoek als de onderzoeker weet waar hij beschikbare gegevens kan krijgen die goed presenteerbaar zijn voor de Luton MKB organisatie. Fantastic heeft geprobeerd enkele van de basis Windows registers te analyseren die mogelijk de omleiding van zijn webpagina hebben veroorzaakt, heeft gebruikersactiviteit bijgehouden en alle noodzakelijke programma’s die een gebruiker had uitgevoerd, apparaten die werden gebruikt op de server of een van de computers van de organisatie, en heeft ook het IP-adres van gebruikers onthuld.
Netwerk Forensisch Onderzoek
Het verwerven, verzamelen en analyseren van de gebeurtenissen die plaatsvinden in het netwerk wordt netwerk forensisch onderzoek genoemd. Soms is het ook bekend als packet forensics of packet mining. Het basisdoel van netwerk forensisch onderzoek is hetzelfde, namelijk het verzamelen van informatie over de pakketten in het netwerkverkeer, zoals de mails, de zoekopdrachten, het browsen van de webinhoud, enz., en deze informatie bij één bron te bewaren en verdere inspectie uit te voeren (WildPackets, 2010).
Netwerk forensisch onderzoek kan op twee belangrijke manieren worden toegepast. De eerste is veiligheidsgerelateerd, waarbij een netwerk wordt gemonitord op verdacht verkeer en elke vorm van inbraak. Het is mogelijk voor de aanvaller om alle logbestanden van een geïnfecteerde host te wissen, dus in deze situatie komt het netwerk-gebaseerde bewijsmateriaal om de hoek kijken bij de forensische analyse. De tweede toepassing van netwerk forensisch onderzoek is gerelateerd aan de rechtshandhaving, waar het vastgelegde netwerkverkeer kan worden gebruikt voor het verzamelen van de bestanden die via het netwerk zijn overgedragen, het zoeken op trefwoord en de analyse van menselijke communicatie die via e-mails of andere soortgelijke sessies heeft plaatsgevonden. (Hunt, 2012)
Tools and Techniques of Network Forensics
We kunnen elke handeling uitvoeren met een forensisch verantwoorde opstartbare DVD/CD-ROM, USB Flash drive of zelfs een floppy disk. Eerst moeten we het geheugen dumpen, en dit wordt bij voorkeur gedaan met een USB Flash drive van voldoende grootte. We moeten ook een risicobeoordeling uitvoeren wanneer we op het punt staan vluchtige gegevens te verzamelen om te evalueren of het veilig en relevant is om dergelijke live gegevens te verzamelen, die zeer nuttig kunnen zijn in een onderzoek. Wij moeten gedurende het hele proces gebruik maken van forensische toolkits, omdat dit helpt te voldoen aan de eisen van een forensisch onderzoek. Deze instrumenten moeten betrouwbaar zijn, en kunnen worden aangeschaft in de vorm van vrij verspreide of commerciële instrumenten. (7safe, 2013)
Er moet zeer belangrijke en discrete informatie worden verzameld van een draaiende machine, met behulp van vertrouwde tools zoals:
-
Process listings.
-
Service listings.
-
Systeeminformatie.
-
Ingelogde en geregistreerde gebruikers.
-
Netwerkverbindingen.
-
Registry-informatie.
-
Binaire dump van geheugen.
Er zijn veel verschillende soorten forensische netwerktools, elk met verschillende functies. Sommige zijn gewoon packet sniffers en anderen houden zich bezig met identificatie, fingerprinting, locatie, mapping, e-mailcommunicatie, webdiensten, enz. Onderstaande tabel geeft een overzicht van enkele van de open-source tools die gebruikt kunnen worden voor netwerk forensisch onderzoek en hun functionaliteiten. (Hunt, 2012)
Tool | Platform | Web Site | Attributes |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: filter & verzamelen; L: loganalyse; R: hermontage van gegevensstroom; C: correlatie van gegevens; A: weergave van toepassingslaag
Tabel 2: Forensische netwerkgereedschappen
Bron: (Hunt, 2012)
Database Forensisch Onderzoek
Een database is een verzameling van gegevens of informatie die wordt weergegeven in de vorm van bestanden of een verzameling van bestanden. Het ophalen van de gegevens uit de database kan worden gedaan met een reeks query’s. Forensisch onderzoek van databases kan worden gedefinieerd als de toepassing van computeronderzoek en analysetechnieken om bewijsmateriaal uit de database te verzamelen en voor te leggen aan een rechtbank. Een forensisch onderzoek moet worden gedaan op de databases, omdat een database gevoelige gegevens bevat waarbij er een grote kans is op een inbreuk op de beveiliging door de indringers om deze persoonlijke informatie te bemachtigen.
In de casestudy wordt vermeld dat een grote hoeveelheid gegevens wordt verzonden uit de database, dus nu is de taak van het Fantastic team om een forensisch onderzoek uit te voeren op de database met behulp van forensische tools. Database forensics richt zich op de identificatie, het behoud en de analyse van gegevens. Volgens Khanuja, H.K., en Adane, D.S., (2011) moeten gebruikers, om toegang te krijgen tot de database, machtigingen zoals autorisatie en authenticatie krijgen van de database servers. Zodra de autorisatie is gedaan, kan alleen de gebruiker toegang krijgen tot de gegevens en indien bedoeld kan hij/zij de gegevens wijzigen. Als we nu de audit logs van de database controleren, kunnen we een lijst krijgen van de gebruikers die permissies hebben gekregen om toegang te krijgen tot de gegevens. Het team moet zoeken in de database voor de IP-adressen die op afstand zijn aangesloten, want er zijn kansen van het wijzigen van de gegevens door de geautoriseerde gebruiker of onbevoegde gebruiker.
Volgens Dave, P., (2013), met de hulp van het onderzoek kunnen we de operaties van de DDL (Data Definition Language), die worden gebruikt om de database structuur te definiëren, en DML (Data Manipulation Language), die worden gebruikt voor het beheer van de gegevens in de database en kan identificeren of er sprake is van een pre- en post-transacties gebeurd in de database terug te vinden. Dit onderzoek kan ons ook helpen om te weten of er gegevens rijen die zijn verwijderd door de gebruiker opzettelijk, en is in staat om ze te herstellen, en het helpt ons ook te bewijzen of te weerleggen dat een inbreuk op de beveiliging van gegevens heeft plaatsgevonden in de database, en het helpt ons bij het bepalen van de omvang van de inbraak van de database. Windows forensic tool v1.0.03 wordt gebruikt met een aangepast configuratiebestand dat DMV (Distributed Management Views) en DBCC (Database Consistency Checker) commando’s zal uitvoeren om de gegevens te verzamelen die voldoende zijn om de inbraak te bewijzen of te ontkennen, zoals eerder vermeld (Fowler, K., 2007).
Analyse
In eerste instantie moeten we het bewijsmateriaal analyseren dat we hebben verzameld en onderzocht. We zullen de gegevens bekijken om te zien of er verborgen bestanden of ongebruikelijke bestanden aanwezig zijn. Dan kijken we of er een ongebruikelijk proces loopt en of er ongebruikelijke sockets zijn geopend. We zullen ook kijken of er ongebruikelijke applicatie-aanvragen zijn geweest. Dan controleren we de account, of er een ongebruikelijke account wordt weergegeven of niet. We zullen ook het patcheniveau systeem vinden, of het is bijgewerkt of niet. Door het resultaat van deze analyses, zullen we te weten komen of er kwaadaardige activiteiten worden gepresenteerd of niet. Daarna zullen we een verdere strategie ontwikkelen voor het forensisch onderzoek, zoals een volledige analyse van het geheugen, een volledige analyse van de bestandssystemen, correlatie van gebeurtenissen en tijdlijnanalyse (Nelson, B., et. al., 2008). Volgens deze casestudy zijn er kwaadaardige activiteiten aanwezig in hun netwerksysteem en dit wordt ook bevestigd door onze eerste analyse. Om de mogelijkheden van de kwaadaardige code en het doel ervan te vinden, moeten we de analyse van de uitvoerbare malware uitvoeren. De analyse van de uitvoerbare malware kan worden onderverdeeld in een statische analyse en een gedragsanalyse.
Malware-analyse
Volgens het rapport van het Verizon “2012 Data Breach Investigations Report” heeft 99% van de kwetsbaarheden ertoe geleid dat de gegevens in enkele dagen of minder zijn gecompromitteerd, terwijl 85% enkele weken nodig had om te onderzoeken. Dit is een serieuze uitdaging voor de beveiligingsafdelingen, aangezien aanvallers veel tijd krijgen om in een gecompromitteerde omgeving te werken. Meer “vrije tijd” leidt tot meer gestolen gegevens en meer ernstige schade. Dit is vooral te wijten aan het feit dat de huidige beveiligingsmaatregelen niet berekend zijn op complexere bedreigingen (2012 Data Breach Investigations Report, Verizon, 2012).
Het punt bij het uitvoeren van een malware plaats delict onderzoek: bepaalde delen van een Windows PC zijn goed op weg om gegevens te bevatten die te identificeren zijn met de malware installatie en het gebruik. Juridische onderzoeken van de verhandelde raamwerken omvatten een audit van record hash waarden, handtekeningverwarringen, ingepakte bestanden, botsingslogboeken, Systeemherstelpunten en het pagefile. Een wereldwijd onderzoek van de bestandssystemen en eventlogs kan worden gericht op het onderscheiden van oefeningen rond de tijd dat de malware op het systeem werd geanimeerd. Geavanceerde specialisten kunnen ook het register controleren op ongewone ingangen, zoals in Autostart-gebieden, en aanpassingen rond de tijd van de installatie van de malware. Zoekopdrachten op trefwoorden kunnen worden uitgevoerd om verwijzingen naar malware en associaties met andere onderhandelde hosts te ontdekken. Normale aanvalsvectoren worden herkend, waaronder e-mailbijlagen, de browsegeschiedenis van het web en niet-geautoriseerde aanmeldingen.
Volgens Syngress “Malware Forensics – Investigating and Analyzing Malicious Code, 2003” moet er een onderzoek worden gedaan op basis van het volgende:
-
Search for Known Malware
-
Review Installed Programs
-
Examine Prefetch
-
Inspect Executables
-
Review Auto-starten
-
Geplande taken bekijken
-
Logs bekijken
-
Gebruikersaccounts bekijken
-
Bestandssysteem bekijken
-
Geregistreerd
-
Restore Points
-
Keyword Searching
Voordat we beginnen met de malware-analyse, moeten we een malware-analyseomgeving creëren, zoals VMware en Norton Ghost. VMware is een virtuele malware-analyseomgeving en Norton Ghost is een speciale malware-analyseomgeving.
Statische analyse
Statische analyse is het type malware-analyse dat wordt gebruikt om de analyse uit te voeren zonder de malwareprogrammering uit te voeren. Statische analyse is beter dan dynamische analyse in termen van veilige analyse. Omdat het malware programma niet wordt uitgevoerd, is er geen angst voor het verwijderen of veranderen van de bestanden. Het is altijd het beste om de statische malware-analyse uit te voeren in een ander besturingssysteem, waar de malware niet is ontworpen om te draaien of in te werken. Omdat een onderzoeker per ongeluk kan dubbelklikken op het malware programma om het uit te voeren, en het zal het systeem beïnvloeden. Er zijn zoveel manieren om de statische analyse uit te voeren, zoals File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format en Disassembly (Kendall, K., 2007).
Dynamische Analyse
Dynamische Analyse is het type malware-analyse waarbij malware-code wordt uitgevoerd en het gedrag ervan wordt geobserveerd. Het wordt ook wel Behaviour Malware Analysis genoemd. Dynamische analyse is niet veilig om uit te voeren, tenzij we bereid zijn de malware-analyseomgeving op te offeren. We kunnen de malware analyseren door eenvoudigweg het gedrag van de malware functies te observeren. Er zijn veel tools om de dynamische malware analyse uit te voeren, maar Process Monitor van SysInternals en Wireshark zijn de meest gebruikte en freeware tools (Kendall, K., 2007).
Volgens Kendall, K., (2007), zal in bijna alle gevallen van malware een eenvoudige statische en dynamische malware-analyse alle antwoorden geven die de malware-onderzoekers nodig hebben voor de specifieke malware-code.
Vindingen
Na ons onderzoek vatten we onze bevindingen als volgt samen:
-
Identificatie van de aanhoudende toegang op afstand van de aanvaller tot de computers van het bedrijf.
-
Bij de forensische analyse werd vastgesteld dat de systemen waren gecompromitteerd.
-
OS-patches waren op sommige systemen niet geïnstalleerd.
-
In het gecompromitteerde systeem werd verdachte malware aangetroffen.
-
Identificatie van die malware en de functionaliteit &doel van de malware leidden ons tot de conclusie dat het om ‘spamming’-malware gaat.
-
Vastgesteld werd dat de aanvallers met behulp van de malware toegang hadden tot de systemen van de klant door in de juiste websitelink voor betalingsgateway te voorzien.
Remediërende maatregelen
De meest voorkomende manieren om kwaadaardige software het netwerk binnen te krijgen, zijn hierboven beschreven. Uit het voorgaande kunnen twee belangrijke conclusies worden getrokken:
-
De meeste van de beschreven methoden houden op de een of andere manier verband met de menselijke factor; daarom zullen opleiding van werknemers en periodieke cursussen over beveiliging de netwerkbeveiliging verbeteren;
-
Vaak voorkomende gevallen van het hacken van legitieme sites leiden ertoe dat zelfs een bekwame gebruiker zijn computer kan infecteren. Daarom komen de klassieke beschermingsmaatregelen naar voren: antivirussoftware, tijdige installatie van de laatste updates en monitoring van het internetverkeer.
Volgens Shiner, D.L.D., en Cross, M., (2002), zijn er belangrijke tegenmaatregelen om zich tegen malware te beschermen:
-
Authenticatie en wachtwoordbescherming
-
Antivirussoftware
-
Firewalls (hardware of software)
-
DMZ (gedemilitariseerde zone)
-
IDS (Intrusion Detection System)
-
Packetfilters
-
Routers en switches
-
Proxyservers
-
VPN (Virtual Private Networks)
-
Logging en audit
-
Toegangscontroletijd
-
Propriëtaire software/hardware is niet beschikbaar in het publieke domein
In ons geval, zijn de meest bruikbare de volgende:
-
Firewall
-
Logging en Audit
Firewall controleert alle webpagina’s die op de computer van de gebruiker binnenkomen. Elke webpagina wordt door de firewall onderschept en geanalyseerd op kwaadaardige code. Als een webpagina die door de gebruiker wordt geopend, kwaadaardige code bevat, wordt de toegang daartoe geblokkeerd. Tegelijkertijd wordt een melding weergegeven dat de opgevraagde pagina geïnfecteerd is. Als de webpagina geen kwaadaardige code bevat, wordt hij onmiddellijk beschikbaar voor de gebruiker.
Met logging bedoelen we het verzamelen en opslaan van informatie over gebeurtenissen die in het informatiesysteem plaatsvinden. Bijvoorbeeld, wie en wanneer probeerde in te loggen op het systeem en hoe deze poging eindigde, wie en welke informatiebronnen werden gebruikt, wat en wie informatiebronnen wijzigde, en vele andere.
Audit is een analyse van de geaccumuleerde gegevens, onmiddellijk uitgevoerd, bijna in real time (Shiner, D.L.D., en Cross, M., 2002). De belangrijkste doelstellingen van logging en audit zijn:
-
Toeterekenbaarheid van gebruikers en beheerders;
-
Mogelijkheden bieden voor reconstructie van gebeurtenissen;
-
Pogingen tot schending van de informatiebeveiliging opsporen;
-
Informatie verschaffen om problemen te identificeren en te analyseren.
Beveiligingsbeleid
De meest volledige criteria voor het evalueren van beveiligingsmechanismen op organisatieniveau worden gepresenteerd in de internationale norm ISO 17799: Code of Practice for Information Security Management, aangenomen in 2000. ISO 17799 is de internationale versie van de Britse norm BS 7799. ISO 17799 bevat praktische regels voor het beheer van informatiebeveiliging en kan worden gebruikt als criteria voor de beoordeling van beveiligingsmechanismen op organisatorisch niveau, waaronder administratieve, procedurele en fysieke beveiligingsmaatregelen (ISO/IEC 17799:2005).
De praktische regels zijn onderverdeeld in de volgende secties:
-
beveiligingsbeleid;
-
organisatie van informatiebeveiliging;
-
asset management;
-
beveiliging van menselijke hulpbronnen;
-
fysieke en milieubeveiliging;
-
communicatie en operationeel beheer;
-
toegangscontrole;
-
acquisitie, ontwikkeling en onderhoud van informatiesystemen;
-
incidentenbeheer informatiebeveiliging;
-
bedrijfscontinuïteitsbeheer;
-
compliance.
In deze paragrafen worden de beveiligingsmechanismen op organisatorisch niveau beschreven die momenteel wereldwijd in overheids- en commerciële organisaties worden toegepast (ISO1799, 2005).
Er rijzen verschillende vragen na beschouwing van de bovengenoemde behoefte aan een of andere combinatie van zakelijke vereisten voor het internet. Welke software en hardware en organisatorische maatregelen moeten worden geïmplementeerd om aan de behoeften van de organisatie te voldoen? Wat is het risico? Wat moeten de ethische normen zijn voor de organisatie om hun taken uit te voeren met behulp van het Internet? Wie moet daarvoor verantwoordelijk zijn? De basis van de antwoorden op deze vragen is een conceptueel beveiligingsbeleid voor de organisatie (Swanson, M., 2001).
Het volgende hoofdstuk bevat fragmenten van hypothetisch beveiligingsbeleid voor veilig werken op het Internet. Deze fragmenten zijn ontworpen op basis van de analyse van de belangrijkste soorten veiligheidsvoorzieningen.
Het veiligheidsbeleid kan worden onderverdeeld in twee categorieën: technisch beleid, uitgevoerd met behulp van hardware en software, en administratief beleid, uitgevoerd door de mensen die het systeem gebruiken en de mensen die het systeem beheren (Swanson, M., 2001).
Gemeenschappelijk veiligheidsbeleid voor een organisatie:
-
Elk informatiesysteem moet een beveiligingsbeleid hebben
-
Het beveiligingsbeleid moet worden goedgekeurd door het management van de organisatie
-
Het beveiligingsbeleid moet in een eenvoudige en begrijpelijke vorm tot alle werknemers worden gericht
-
Het beveiligingsbeleid moet het volgende omvatten:
-
definitie van informatiebeveiliging, de belangrijkste doelstellingen en de reikwijdte ervan, alsmede het belang ervan als een mechanisme, dat collectief gebruik van de informatie mogelijk maakt
-
het standpunt van de leiding over de doelstellingen en beginselen van informatiebeveiliging
-
identificatie van de algemene en specifieke verantwoordelijkheden voor het verstrekken van informatiebeveiliging
-
links naar documenten met betrekking tot het beveiligingsbeleid, zoals gedetailleerde veiligheidsrichtlijnen of -regels voor gebruikers
-
Het beveiligingsbeleid moet aan bepaalde eisen voldoen:
-
voldoen aan nationale en internationale wetgeving
-
bepalingen bevatten voor de opleiding van personeel op het gebied van veiligheidskwesties
-
instructies bevatten voor het opsporen en voorkomen van kwaadaardige software
-
de gevolgen van schendingen van het veiligheidsbeleid definiëren beleid
-
rekening houden met de eisen inzake bedrijfscontinuïteit
-
Er moet een persoon worden aangewezen die verantwoordelijk is voor de procedure voor de herziening en actualisering van de bepalingen van het beveiligingsbeleid
-
Herziening van het beveiligingsbeleid moet worden uitgevoerd als gevolg van de volgende gevallen:
-
wijzigingen in de organisatorische infrastructuur van de organisatie
-
wijzigingen in de technische infrastructuur van de organisatie
-
Het beveiligingsbeleid moet regelmatig worden herzien op grond van de volgende kenmerken:
-
de kosten en het effect van tegenmaatregelen op de prestaties van de organisatie(ISO/IEC 17799:2005)
Rapportage
Een forensisch rapport brengt het bewijsmateriaal voor de rechtbank onder de aandacht en het helpt ook bij het verzamelen van meer bewijsmateriaal en kan tijdens rechtszittingen worden gebruikt. Het rapport moet de reikwijdte van het onderzoek bevatten. Een forensisch computeronderzoeker moet zich bewust zijn van de soorten forensische computerrapportage, zoals het formele rapport, het schriftelijke rapport, het mondelinge rapport en het onderzoeksplan. Een formeel rapport bevat de feiten van de onderzoeksbevindingen. Een schriftelijk rapport is als een verklaring of een beëdigde verklaring die onder ede kan worden afgelegd, zodat het duidelijk, nauwkeurig en gedetailleerd moet zijn. Een mondeling verslag is minder gestructureerd en is een voorlopig verslag dat ingaat op de onderzoeksgebieden die nog niet zijn behandeld. Een onderzoeksplan is een gestructureerd document dat de onderzoeker helpt om de vragen te begrijpen die hij/zij kan verwachten wanneer hij/zij het bewijsmateriaal moet verantwoorden. Een onderzoeksplan helpt de advocaat ook om de termen en functies te begrijpen die bij forensisch computeronderzoek worden gebruikt (Nelson, B., et al., 2008). Over het algemeen bevat een forensisch computerrapport de volgende functies:
-
Doel van het rapport
-
Auteur van het rapport
-
Samenvatting van het incident
-
Evidence
-
Analyse
-
Conclusies
-
Ondersteunende documenten
Er zijn veel forensische tools om het forensisch onderzoeksrapport te genereren, zoals ProDiscover, FTK en EnCase (Nelson, B., et al., 2008).
Conclusies
Dit rapport bevat hoe het Forensisch Onderzoek van de Computer en het Malware Onderzoek in verschillende methodes en met verschillende hulpmiddelen kan worden uitgevoerd. Dit rapport bevat ook de vier belangrijkste procedures van de ACPO en het beveiligingsbeleid IS017799, die in elke organisatie moeten worden ingevoerd om de netwerkarchitectuur te verbeteren. Het analyseert ook het First Four Step Forensic Investigation-model en waarom we dit model hebben gekozen om het forensisch onderzoek voor deze zaak uit te voeren. Het bevat ook belangrijke voorbereidende stappen voordat het onderzoek wordt gestart. Vervolgens bevat dit rapport een analysegedeelte waarin we de gegevens hebben geanalyseerd die we met verschillende methoden hebben verzameld om tot de bevindingen te komen. Dit rapport bevat ook aanbevelingen om inbreuken op de beveiliging in de toekomst te voorkomen.
Digitaal forensisch onderzoek is een uitdagend proces, omdat elk incident verschilt van andere incidenten. Een forensisch computeronderzoeker moet over voldoende technische en juridische kennis beschikken om het onderzoek te kunnen uitvoeren. Aangezien het bewijsmateriaal dat door een forensisch computeronderzoeker wordt geleverd een belangrijk onderdeel van de zaak kan zijn, moet het onderzoeksverslag nauwkeurig en gedetailleerd zijn.
-
7safe, (2013) “Good Practice Guide for Computer-Based Electronic Evidence”, Beschikbaar op: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Geraadpleegd op 12 januari 2014.
-
ACPO (2013), “Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), “Evidence and Digital Forensics”, Australian Security Magazine, Beschikbaar op http://www.australiansecuritymagazine.com.au/, geraadpleegd op 31 december 2013.
-
Aquilina, M.J., (2003), “Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), “Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Casestudies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, “Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), “SQL – Een carrière in databaseforensisch onderzoek! Beschikbaar op http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, geraadpleegd op 2 januari 2014.
-
Fowler, K., (2007), “Forensische analyse van een SQL Server 2005 Database Server”, Beschikbaar op https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, geraadpleegd op 2 januari 2014.
-
Han, D.R., (2012), “SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, available at www.isaca.org/journal, accessed on 05th Jan 2014
-
Hunt, R., (2012), “New Developments In Network Forensics – Tools and Techniques”, Nieuw-Zeeland, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), “Informatietechnologie – Beveiligingstechnieken – Gedragscode voor het beheer van informatiebeveiliging”, Beschikbaar op http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, geraadpleegd op 10 januari 2014.
-
ISO1799, (2005), “ISO 17799 Information and Resource Portal”, Beschikbaar op http://17799.denialinfo.com/ , Geraadpleegd op 10 januari 2014.
-
Kendall, K,(2007), “Practical Malware Analysis”, Mandiant Intelligent Information Security, Beschikbaar op http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Geraadpleegd op 10 januari 2014.
-
Kent, K, en Grance, T., (2006), “Guide to Integrating Forensic Techniques into Incident Response”, Beschikbaar op: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Accessed on 13th January 2014.
-
Kent, K., et.al., (2006). “Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., and Adane, D.S., (2011), “Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., and Heiser, J.G. (2010), “Computer Forensics: Incident Response Essentials”, 14e edn, Indianapolis: Pearson Education
-
Microsoft, (2013), “Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et. al., (2008), “Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), “Forensisch onderzoek van een Windows-systeem”, Roche.
-
SANS, (2010), “Integrating Forensic Investigation Methodology into eDiscovery”, Beschikbaar op: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Accessed on 13th January 2014.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), “NIST Security Self-Assessment Guide for Information Technology Systems”, Beschikbaar op http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, geraadpleegd op 9 januari 2014.
-
US-CERT, (2012), “Computer Forensics”, Beschikbaar op http://www.us-cert.gov/reading-room/forensics.pdf, geraadpleegd op 30 december 2013.
-
Venter, J. P., (2006), “Process Flows for Cyber Forensics Training and Operations”, beschikbaar onder http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, geraadpleegd op 30 december 2013.
-
Wong, L.W.,(2006) “Forensische analyse van het Windows-register”, beschikbaar onder http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf, geraadpleegd op 10 januari 2014.