ICT-fraudebewijs onder druk
Veelal richten forensisch specialisten zich bij hun onderzoek op het veiligstellen van 'statische gegevens' zoals harde schijven, PDA’s en USB-sticks. Deze gegevensdragers bevatten doorgaans veel bruikbare informatie en vormen een belangrijke voedingsbodem voor het digitaal onderzoek. Door nieuwe ontwikkelingen op het automatiseringsgebied is het veiligstellen van voornoemde gegevensdragers echter lang niet altijd meer afdoende. Dit geldt bijvoorbeeld voor onderzoek naar e-mailberichten.
E-mail
Met de statische gegevens die achterbleven op harde schijven waren forensisch onderzoekers jarenlang in staat om complete e-mailberichten en overzichten van e-mailpostbussen inzichtelijk te maken. Ook toen het gebruik van webmaildiensten een hoge vlucht nam, en de e-mailberichten op een server op internet werden opgeslagen, waren digitaal onderzoekers nog dikwijls in staat deze inzichtelijk te maken. De berichten werden dan met grote regelmaat aangetroffen als tijdelijke internetbestanden op werkcomputers. Door nieuwe technologieën die het internetgebruik fraai, snel en gebruiksvriendelijk maken, is dit nu echter niet meer mogelijk.
Voorbeelden van deze nieuwe technologieën zijn Web 2.0 en de zogenoemde AJAX-technologie. Webpagina's maken in toenemende mate gebruik van deze technologieën maar ook populaire programma's doen dat als GoogleDocs, Google Mail, MobileMe en Microsoft Live. Bij de AJAX-technologie haalt de browser (Internet Explorer of Mozilla Firefox bijvoorbeeld) niet meer de HTML-code maar slechts een applicatie binnen. De browser start dit binnengehaalde programma dat vervolgens met de webmailserver communiceert. Het gevolg hiervan is dat er geen inhoudelijke berichten meer worden achtergelaten in de tijdelijke internetbestanden. Het spreekt vanzelf dat dit het digitaal onderzoek kan belemmeren.
Er zijn nog andere ontwikkelingen waardoor forensisch specialisten moeilijker digitaal bewijs kunnen vinden. Zo maken organisaties steeds vaker gebruik van een virtuele- of terminalserver omgeving. In beide gevallen kunnen onderzoekers geen relevante gegevens terugvinden op het werkstation van de gebruiker. Bovendien blijven de gegevens over wat gebruikers hebben gedaan, bij deze digitale werkomgevingen vaak minder lang bewaard. Verder worden gegevens die gebruikers verwijderen sneller overschreven.
De oplossing
Moeilijkheden die ontstaan door de nieuwe technologische ontwikkelingen zijn te ondervangen. Organisaties kunnen dit doen door gevoelige of vertrouwelijke gegevens te rubriceren en de toegang tot de gegevens te controleren. Dit is op veel manieren mogelijk. Een ervan is het afvangen (tappen) van netwerkdata met servers. Afwijkende activiteiten met deze data kunnen dan in een vroeg stadium worden opgemerkt. Met deze methode is het ook eenvoudig om later te achterhalen wat er met gegevens is gebeurd en wie hiervoor verantwoordelijk is. Verstuurde en ontvangen webmailberichten en hun bijlagen kunnen bijvoorbeeld worden ingezien. Daarnaast is het mogelijk al in een vroeg stadium afwijkende en niet-wenselijke datatransporten te signaleren en gepaste actie te ondernemen.
Dit is een tijd van toenemende virtualisatie, versleuteling en multifunctionele browsers die ogenschijnlijk eindeloze mogelijkheden hebben. Het is duidelijk dat de ontwikkelingen binnen de automatisering vragen om een andere omgang met digitale informatie. Er zijn legio voorbeelden en scenario’s te bedenken die het belang aantonen van het veiligstellen van deze gegevens. Organisaties zouden zich daarom meer moeten richten op het behoud van niet-statische, vluchtige gegevens. Onze experts kunnen u hierover adviseren.
