Kontakt

Nyheter

25 år av Digital Forensics, vad har förändrats? Vi frågade Hans Heins.

Det är tydligt att världen inom Digital Forensics inte står stilla. Fältet har utvecklats från handskrivna brev till e-postmeddelanden och från fysisk brottslighet till cyberbrottslighet. Hur har alla dessa förändringar påverkat den digitala kriminaltekniska utredarens metoder och arbete? Vi frågade en gammal vän: Hans Heins.

Vem är Hans Heins?
Hans är en digital kriminalteknisk digitalutredare i grunden. Han började sin karriär hos polisen som idrottsinstruktör men befann sig snart i positionen som taktisk utredare. Efter att ha arbetat i flera år för Rijkspolitie Hollands-Midden, gick han vidare till Computer Crime Unit i Haag som IT Forensics Specialist 1994, och slutade så småningom på Polishögskolan som föreläsare/utvecklare av Computer Forensics. Han blev ett bekant ansikte för många poliser på grund av sitt arbete där. 2005 var det dags för något nytt och Hans arbetade på flera privata utredningsbyråer. Efter 12 år på Hoffmann Corporate Investigations gick han i pension från företaget från och med oktober 2022.

För 22 år sedan, när Hans arbetade som Digital Utredningsspecialist på Police Training National Selection Centre i 2,5 år, hade vi redan möjlighet att intervjua Hans. I intervjun berättade han för oss hur han introducerade EnCase för polisen som ett av de första Digital Forensics-verktygen. 22 år senare ser han tillbaka tillsammans med DataExperts André Hakkers på alla förändringar som har skett sedan dess.

Utvecklingen inom digital utredning
När Hans började arbeta som Digital Investigator 1994 hade alla utredare som arbetade med databrott en stor skrymmande bärbar dator. Programvarupaket som EnCase, FTK, AXIOM och Intella var inte tillgängliga vid den tiden. Följaktligen, på grund av det stora antalet olika datorer och system du stötte på då, var det allt annat än enkelt att säkerhetskopiera hittade bevis på plats.

Ändå indikerar Hans att inte så mycket har förändrats i sättet att utreda som digital utredare. "I mer än 30 år har en dator varit ett mycket viktigt vittne att ifrågasätta. Det har inte förändrats. Spåren man kan hitta på datorer är förstås olika. Till exempel lagrar Microsoft Word nu annan information än tidigare. Nu har du autospara-funktionen, och i registret och diverse andra systemfiler kan du ta reda på vid vilka tidpunkter dokumentet arbetades med. Du kan också kontrollera i en Excel-fil var markören var vid en specifik tidpunkt.’ En förändring som Hans säger har gjort stor skillnad är möjligheten att arbeta på distans. Eftersom allt inte längre är lokalt finns det nu mer flexibilitet.

Definitionen av digitala bevis har också förblivit densamma, enligt Hans. Du kan bara kalla det bevis från det ögonblick det har blivit helt och kriminaltekniskt korrekt säkrat och korrekt hanterat. Naturligtvis har strukturerna och egenskaperna för filer utvecklats, men verktygen har utvecklats med dem. I slutändan är det dock utredaren som avgör kvaliteten på utredningen, inte de verktyg som används.

Hans: "Jag arbetade en gång i ett fall där en av de två parterna förde en WhatsApp-konversation, sparad som pdf, till domstolen som bevis. Motparten angav omedelbart att innehållet i samtalet inte var autentiskt, det vill säga manipulerat. I ett sådant fall börjar man kontrollera de presenterade bevisen närmare.

Tre på varandra följande punkter i texten (...) fångade mitt öga. Dessa prickar låg för nära varandra jämfört med den andra texten. Att zooma in visade verkligen att det inte stämde och man kunde dra slutsatsen att WhatsApp-texten med stor sannolikhet måste ha modifierats i en ordbehandlare, möjligen Microsoft Word. Det avslöjades inte exakt vad som ändrades, men det kunde åtminstone påvisas att WhatsApp-konversationen omöjligt kunde vara äkta. Bevisbördan vändes av domaren och den presenterade WhatsApp-konversationen ströks så småningom.

De färdigheter och nyfikenhet som behövs för att upptäcka anomalier som de som beskrivs ovan skiljer sig inte från till exempel för 25 år sedan. Det är viktigt att du har rätt erfarenhet för att känna igen sådana fall för att sedan formulera dem på lämpligt sätt till domstolen.

Hans erkänner att mängden data som ska undersökas har ökat enormt under åren. Trots det, säger han, är det viktigt att du fortfarande kopierar all data, trots den stora mängden. Säkring kan ofta bara göras en gång, och man vet inte vad man missar om man inte får allt. Ett bra exempel här är loggfiler från en webbserver. Om du begränsar din hämtning av loggdata till några dagar före och efter en specifik händelse, missar du målet. Inom ett stort antal utredningar av loggfiler utförda av Hans visade det sig att vederbörande lämnat spår långt tidigare, ibland så mycket som två månader tidigare, vilket visade sig vara avgörande för att lösa de aktuella ärendena.

Mellan sitt arbete med polisen och sitt arbete med privata organisationer som Hoffman, märkte Hans egentligen ingen skillnad under åren. Hans: ”Även om ämnet i ett mål ofta skiljer sig åt mellan civil- eller brottmål, gör man fortfarande samma arbete. Du utreder samma typer av datorer med samma resurser och kriminaltekniska verktyg. I slutet av dagen handlar det om nollor och ettor, att hitta bevisen och att förbereda en juridiskt hållbar rapport”.

Användning av olika verktyg genom åren
1998 tog en kollega till Hans med sig ett grafiskt utredningsverktyg från Amerika till Nederländerna. Då fick det verktyget, EnCase 1.99, enkelt plats på en diskett och kunde användas i en offline digital kriminalteknisk utredning. Det var verkligen ett banbrytande verktyg på den tiden, med alla möjligheter det erbjöd, och det öppnade upp en helt ny värld för digitala utredare. Innan EnCase kom, använde polisen kommandoradsverktyg som Snapback för att säkerhetskopiera data till band och Disksearch som gjorde det möjligt att söka efter upp till 128 ord åt gången. Med Encase kunde datordata säkras, bearbetas offline och göras sökbar i en grafisk Windows-miljö. Detta gjorde att utredningar kunde slutföras betydligt snabbare och det förenklade även analyser. Till exempel behövde zip-filer inte längre extraheras manuellt.

Efter EnCase kom andra, främst amerikanska, leverantörer snart med verktyg som resten av världen, som Hans beskriver det, "sög upp som en svamp". Exempel är verktygen från Accessdata. Redan då kunde FTK indexera alla ord i en offlinekopia, så att du snabbt kunde få svar på alla sökfrågor. PRTK var vid den tiden (och är fortfarande) ett mycket bekvämt verktyg för lösenordsåterställning.

Nu är verktyg en integrerad del av en digital utredares arbete. Hans: "Som digital utredare måste du ha en komplett verktygslåda. Det finns inget enskilt verktyg som kan göra allt. Varje verktyg har sin egen specifika funktionalitet. Därvid är det också viktigt att jämföra resultaten av verktyg”. Hans betonar vikten av att veta exakt vad dina verktyg kan göra och vilka begränsningarna är. Enligt honom bör detta kontrolleras vid varje ny uppdatering. Något som ibland hoppas över i praktiken.

Så vad ska finnas i verktygslådan? Det beror enligt Hans helt på typen av utredning. Om du har att göra med en utredning där kommunikation är nyckeln (tänk på e-postväxling) så är till exempel Intella ett bra verktyg. Speciellt med tillkomsten av OCR (Optical Character Recognition) erbjuder Intella utmärkta alternativ för att söka i kommunikationsdata. Hans understryker: ”Om du söker på ordet faktura kan du mycket väl hitta ingen eller för lite relevant data. Du bör leta efter en notation som används av en okänd tredje part. De kan ha använt en diminutiv form, eller en synonym som "räkning" eller "kvitto". Så med verktyg måste du fortfarande vara smart med hur du använder dem.

Dessutom nämner Hans AXIOM som en mycket lämplig mjukvarulösning för att förstå många Windows-artefakter. Dessutom är EnCase fortfarande ett mycket bra verktyg för fall där du som Digital Utredare verkligen vill göra en "djupdykning" i data. För Mobile Forensics-utredningar tycker Hans att Cellebrite och Oxygen Forensic Detective är underbara lösningar. Men att få tillgång till mobiltelefoner är fortfarande en utmaning. Utredande myndigheter har idag turen att ha GrayKey för det, men privata organisationer som Hoffman har inte det.

Vad kan förbättras i framtiden?
Särskilt i tvistemål accepteras digital bevisning snabbt som bevis. Även om det inte inhämtats, hanterats och/eller presenterats på ett forensiskt korrekt sätt. Hans är inte okej med det. Här borde domstolen vara mer kritisk. Faktiskt, för både civil- och brottmål, bör en certifierad digital kriminalteknisk utredare säkra bevisen, undersöka dem och rapportera resultaten. "Det finns massor av människor där ute som vet hur man använder en dator för att skapa eller förfalska bevis. Om insatserna är tillräckligt höga uppstår ofta fusk. Det går oupptäckt 9 gånger av 10, eftersom advokater och domare, med all respekt, är för okunniga när det kommer till digital bevisning", säger Hans.

Det skulle vara bra om Digital Forensic Investigators hade både den tekniska kunskapen och tankesättet som en taktisk utredare. Idag ser Hans fortfarande ofta att det saknas. Just genom att kombinera båda kan de rätta frågorna ställas i sökandet efter bevis.

Hans tycker också att det är beklagligt att samarbetet mellan organisationer sker alldeles för sällan i praktiken. Särskilt när privata och offentliga organisationer är inblandade. Det är just genom att utbyta viss information som man kan se helheten.

Tips från Hans
Ett tips som Hans skulle vilja trycka på för alla digitala utredare är: 'Fortsätt arbeta noggrant! Få bekräftelse på en sak, fråga dig sedan vad mer som har hänt’.

Ibland måste man bara ha tur också. Hans: "I en stalkingutredning undersöktes anonyma e-postmeddelanden som mottagits av en chef i ett medelstort företag. Med tanke på innehållet i stalkerns mejl kunde det fastställas att mejlen hade skrivits av en anställd inom företaget. Stalkern hade information om chefen som var mycket privat och även direkt relaterad till företaget. Medan vi fortfarande var upptagna med att göra en omfattande digital undersökning på företagets datanätverk hittade städerskan vid ett tillfälle ett bubbelkuvert i en soptunna och frågade sin chef om hon kunde ta det med sig för att återanvända privat. Avsändaren av det kuvertet var ett företag som heter Keelog från Polen. Lyckligtvis höll chefen fast vid ordet "keelog" eftersom jag hade släppt termen Key Logger under en diskussion med henne. Efter att ha besökt företagets webbsida visade det sig att Keelog bland annat säljer usb-keylogger. Ett plus ett blir två, och efter ytterligare undersökning visade sig adressaten vara den anställde vi sökte. Det handlade inte bara om stalking nu. Efter omfattande digital utredning konstaterades att en key-logger hade kopplats till kontorsdatorerna hos nästan alla kvinnliga anställda. Tack vare städaren kunde detta fall lösas."

Dessutom ska man enligt Hans alltid fortsätta tänka utanför boxen. "Många verktyg där ute erbjuder nu stöd för de mest populära/använda apparna, som tex WhatsApp. Men du kan också kommunicera via chattfunktionen i Wordfeud, till exempel. Om kriminalteknisk programvara inte stöder en viss app, bearbetas inte databasen för den appen, och innehållet presenteras inte separat som det faktiskt alltid är fallet med WhatsApp. I sådana fall kommer potentiella bevis sannolikt att förbises. Egentligen, förutom att analysera de vackert presenterade data från vanliga appar, bör du alltid manuellt visualisera vilka appar som är installerade och vilka av dem som kan innehålla värdefull information. Detta är en särskilt tidskrävande och besvärlig uppgift, varför detta steg ibland "glöms bort". Ibland behöver du också använda flera verktyg. En Cellebrite-kopia av en iPhone kan läsas in i Intella. Med Intella kan du söka efter relevanta söktermer mycket enklare, och alla bilder OCR-behandlas också. Många gånger har vi, tack vare OCR, hittat söktermer i bilder/skärmdumpar som visade sig vara avgörande."

Förutom förslag på den idealiska arbetsmetoden ger Hans även några tips på praktiska, billiga eller gratis verktyg som kan komma till användning under en Digital Forensics-utredning:

  • KAPE– Kroll Artifact Parser and Extractor: automatiserar hämtning, bearbetning och insikt av Windows-artefakter. Kan även användas utmärkt som triageverktyg.
  • Zimmerman-verktyg: mannen bakom KAPE, Eric Zimmerman, har gjort många användbara verktyg tillgängliga på Github för digitala undersökningar.
  • Diff doc: är inget kriminaltekniskt verktyg, men kan t.ex. mycket snabbt visa skillnaderna mellan till synes liknande Excel-filer. Superbekvämt, då detta är nästan omöjligt att göra manuellt/visuellt.
  • USB Detective: ett utmärkt verktyg för att undersöka USB-artefakter som går utöver t.ex. AXIOM.
  • Forensic Explorer: är mycket lik EnCase i användningen. Kan mycket enkelt visa alla Volume Shadow kopior och bara visa de onormala filerna.

Kontakt
Precis som Hans vill Digital Forensics-experterna på DataExpert gärna tänka med dig om hur Digital Forensics kan bli enklare och bättre och vilka verktyg som kan stödja i processen. Skulle du vilja ha en diskussion om detta? Se då till att kontakta oss.

Denna webbplats använder cookies

Vi tycker att det är mycket viktigt att du är medveten om vilka cookies vår webbplats använder och för vilka syften. Vi använder funktionella cookies för att vår webbplats ska fungera korrekt. Dessutom använder vi Analytiska Cookies för att analysera användningen av vår webbplats. Vi ber också om ditt tillstånd för placering av cookies från tredje part (sociala medier, reklam- och analyspartners) som vi delar information med. Genom att klicka på "Acceptera" accepterar du placeringen av ovan nämnda cookies. Om du klickar på "Inställningar" kommer du till en sida där du kan ange vilka cookies som får placeras. Klicka här för vår integritetspolicy.