Edwin & Paul\’s Weblog

Een toegankelijke praktische handreiking van een eerste stap naar digitale bewijsvoering.

Forensische technieken en incident responses

Posted by Edwin op 29 juni 2006

In het verlengde van onze aanbeveling om een CSIRT in te richten, een publicatie van het NIST voor de inhoudelijke kant van het CSIRT en het werk van de CSIRT.

http://csrc.nist.gov/publications/drafts/Draft-SP800-86.pdf

Posted in 8. Diverse achtergrondinformatie | 1 Comment »

Inhoudelijk bijdragen van mede bloggers betreffende organisatorische aspecten

Posted by Paul op 25 juni 2006

Eigenlijk niets kunnen vinden (waarschijnlijk niet goed gezocht, maar de deadline rukt op….)

Posted in 4. Organisatorisch | Leave a Comment »

Inhoudelijk bijdragen van mede bloggers betreffende technische aspecten

Posted by Paul op 25 juni 2006

http://alfjoseph.wordpress.com/about/technisch/network-instant-collection-of-evidence-nice/

http://alfjoseph.wordpress.com/2006/05/24/de-zwarte-doos-voor-computer-en-netwerkgebruik/

Posted in 3. Technisch | Leave a Comment »

Inhoudelijk bijdragen van mede bloggers betreffende forensische aspecten

Posted by Paul op 25 juni 2006

http://berthans.wordpress.com/2006/05/29/the-forensic-chain-of-evidence-model/

Posted in 2. Forensisch | Leave a Comment »

Inhoudelijk bijdragen van mede bloggers betreffende juridische aspecten

Posted by Paul op 25 juni 2006

http://rolfwilbert.wordpress.com/2006/06/24/conclusions-legal/

Posted in 1. Jurdisch | Leave a Comment »

Waarom zou de burger dit willen? M.a.w. de marketing

Posted by Paul op 25 juni 2006

Conclusie

overgenomen uit posting onder link: https://edwinpaul.wordpress.com/2006/06/25/van-rechtspraak-naar-informatiesysteem-tbv-forensisch-onderzoek/

Het soort bijzondere opsporingsmethoden wordt steeds breder, de bevoegdheden van justitie en politie worden steeds verder verruimd, om bepaalde opsporingsmethoden toe te passen worden de bevoegdheden lager in de politiële en justitiële hiërarchie gelegd en het originele toepassingsgebied van deze maatregelen verschuift naar andere vormen van overtredingen en misdaad. Het toch al fragiele evenwicht tussen de noodzakelijkheid van een efficiënte en effectieve misdaadbestrijding enerzijds en de fundamentele rechten anderzijds lijken steeds verder uit balans te geraken.

Enerzijds bepleiten wij:

– dat het toepassingsgebied van de bijzondere opsporingsmethoden wordt beperkt;

– dat het proportionaliteitsbeginsel beter wordt toegepast;

– dat het toezicht wordt aangescherpt op het toepassen van één of meerdere bijzondere methoden van opsporing voor een bepaald delict, zowel vooraf, tijdens en achteraf dient gecontroleerd te worden;

– dat een transparant proces wordt ingericht voor het toepassen van bijzondere methoden van opsporing.

Anderzijds, geredeneerd vanuit de huidige stand van zaken en de optiek van een bedrijf, organisatie of instelling is het beschikken over een systeem waarmee met een druk op de knop de bewijslast kan worden geleverd eerder noodzaak dan luxe. Continuïteit en het beschermen van de bedrijfskritische gegevens verdient namelijk specifieke aandacht, zeker nu de tendens is dat politie en justitie verruimende bevoegdheden verkrijgen.

 

Posted in 5. Aanbevelingen | 1 Comment »

Roadmap naar volledige ontwikkeling

Posted by Paul op 25 juni 2006

Omdat alles integraal met elkaar samenhangt waardoor de complexiteit te groot is om direct tot een finale oplossing te komen, moet er een roadmap gedefinieerd worden.

Deze roadmap naar volledige ontwikkeling bestaat in hoofdlijnen uit:

1. Opzetten van een volledig werkend systeem in een gelimiteerde (onderzoeks)omgeving waarbij impliciet op basis van functionele eisen een SFMP (Simple Forensic Management Protocol) ontwikkeld and beschreven wordt.

2. In parallel daaraan de eisen uitwerken en praktisch toetsen rondom juridisch, forensisch, technisch en organisatorische aspecten.

Ik denk dat alle aspecten zodanig met elkaar samenhangen en elkaar beinvloeden dat deze in een iteratief ontwikkelproces integraal behandeld moeten worden.

Een idee voor Jan Smits om hier een meerjarig, multidisciplinair, onderzoekstraject voor in te richten….

—–

What is SFMP:

Short for Simple Forensic Management Protocol, a set of protocols for harvesting data on complex ICT Infrastructures. The first versions of SFMP are developed in the early 2007s by Jan Smits and his team. SFMP works by sending messages, called forensic protocol data units (FPDUs), to different parts of a ICT infrastructure. SFMP-compliant devices, called agents, store data about themselves in Forensic Management Information Bases (FMIBs) and return this data to the SFMP requesters.

Posted in 5. Aanbevelingen | 5 Comments »

Aanbevelingen

Posted by Edwin op 25 juni 2006

1. Ondersteuning en draagvlak topmanagement is essentieel, net als het formuleren van toepasbaar beleid hierover;

2. Maak de scope van het te ontwikkelen informatiesysteem niet te breed. Iets goed is beter dan alles half;

3. Redeneer niet vanuit te techniek, techniek is een hulpmiddel/bedrijfsmiddel om een probleem op te lossen. Techniek is het doel op zich;

4. Hou rekening met de wet- en regelgeving betrekking hebbend op bewijs;

5. Hou rekening met de aspecten van bewijs;

6. Overweeg de oprichting van een CSIRT;

7. Maak gebruik van bekende forensische principes (Handbook of Legislative Procedures – hoofdstuk 4 );

8. Maak daar waar mogelijk gebruik van bestaande forensische tools (vind geen wiel uit);

9. Neem maatregelen tegen anti-forensics.

Posted in 5. Aanbevelingen | Leave a Comment »

Bewijs, wat is bewijs?

Posted by Edwin op 25 juni 2006

Kijk maar eens:

http://www.novatv.nl/index.cfm?ln=nl&fuseaction=artikelen.details&achtergrond_id=8612&CFID=7904148&CFTOKEN=24454888

Als aanvulling op het leveren van bewijs:

https://edwinpaul.files.wordpress.com/2006/06/aspecten-van-bewijs.pdf 

Posted in 8. Diverse achtergrondinformatie | 1 Comment »

De politie komt personeel te kort bij bestrijding van kinderporno op internet

Posted by Edwin op 25 juni 2006

Lees hier hoe webloggend Nederland erover denkt en welke oplossingen men ziet:

http://www.webwereld.nl/comments/41703/politie-komt-personeel-te-kort-bij-bestrijding-kinderporno.html

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Openbaar Ministerie

Posted by Edwin op 25 juni 2006

Omdat het Openbaar Ministerie een belangrijke rol speelt in de opsporing is een verwijzing opgenomen naar een document waarin in volgelvlucht een beeld wordt gegeven van het werkterrein van het Openbaar Ministerie:

http://www.overheid.nl/home/zowerktdeoverheid/watdoetdeoverheid/openbaarministerie/

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Raad van State

Posted by Edwin op 25 juni 2006

Jaarverslag 2005 van de Raad van State:

http://www.raadvanstate.nl/pages/page_show.asp?page_id=127

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Hacken door politie?

Posted by Edwin op 25 juni 2006

Artikel van Jacco Boek zoals was opgenomen in het Nederlands Juristenblad, nr 11 van 17 maart 2000

http://www.burojansen.nl/afluisteren/jacbob.htm

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Wet bijzondere opsporingsbevoegdheden

Posted by Edwin op 25 juni 2006

Omdat het forensisch onderzoek hiervan deel uitmaakt en er in verschillende weblogs, waaronder de onze, naar verwezen wordt, hierbij de wettekst zoals die was opgenomen in de staatscourant van 24 november 2004:

http://www.zakboekenpolitie.com/actualiteiten/telecom/actua_telecom_vor_gegevens_aanwijzing_opsporing.pdf

Daarnaast hebben we te maken met wetgeving. Voor het bewijs wat ten laste wordt gelegd aan een verdachte zijn in het Wetboek van Strafvordering een aantal bepalingen opgenomen:

https://edwinpaul.files.wordpress.com/2006/06/rechtboek-van-strafvordering-bewijs.pdf
Wil je alle artikelen van het Wetboek van Strafvordering eens nalezen:

http://www.teurlingsellens.nl/WetboekvanStrafvordering.html

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Justitiele verkenningen: Forensische expertise

Posted by Edwin op 25 juni 2006

Een uitgave van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het Ministerie van Justitie:

http://www.wodc.nl/images/jv0401_titelpagina_tcm11-5317.pdf

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Opsporingsmethoden NRC Handelblad A4krant

Posted by Edwin op 25 juni 2006

Een verzameling krantenartikelen over Opsporingsmethoden:

http://www.nrc.nl/redactie/Scholieren/A4krant_opsporing.pdf

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Van rechtspraak naar informatiesysteem t.b.v. forensisch onderzoek

Posted by Edwin op 25 juni 2006

Inleiding

In de meeste weblogs zijn ontwikkelingen te zien waarin met name geredeneerd wordt vanuit de organisatie, systemen, infrastructuur, identificatie etc. Het vertrekpunt zijn dan technische en/of organisatorische maatregelen die een aansluiting dienen te verkrijgen met de vigerende wet- en regelgeving. Deze benadering is eveneens te lezen in onze weblogs.

Een andere benadering is te redeneren vanuit de huidige en toekomstige wet- en regelgeving (rechtspraak). Het in- en doorzien hiervan geeft weer mogelijkheden voor de eerste benadering om de gewenste aansluiting te verkrijgen. Deze versterkende werking geeft weer nieuwe mogelijkheden voor de ontwikkeling van een systeem waarmee met één druk op de knop de bewijsvoering kan worden gegenereerd.

Trias politica
Nederland is een rechtstaat. Dit houdt in dat in principe iedereen (burgers, groepen, organisaties, bedrijven, overheid etc.) vrij is om te doen wat men wil, mits men zich houdt aan de Nederlandse wet- en regelgeving. De term in principe heeft betrekking op het gegeven dat het uitoefenen van de grondrechten niet absoluut is. Zwaarwegende maatschappelijke belangen rechtvaardigen in bepaalde gevallen de beperking op het uitoefenen van de grondrechten. Dit zijn vooralsnog de Nederlandse grondrechten omdat de Europese Grondwet nog (lang) niet van kracht is. Na de afwijzing van deze Grondwet op 1 juni 2005 door de Nederlandse burgers, is een periode van ‘bezinning afgesproken’. De status van de Europese Grondwet is op dit moment niet duidelijk en is voor de verdere uiteenzetting niet van belang.

De Nederlandse wetgeving is beïnvloed door de theorie van het scheiden van drie staatsmachten (trias politica):

1. Wetgevende macht

2. Uitvoerende macht

3. Rechtsprekende macht

In Nederland kennen we echter geen absolute scheiding tussen deze staatsmachten, de balans tussen de staatsmachten wordt belangrijker geacht dan een strikte scheiding. Het gevolg is dat een aantal van deze belangrijke overheidstaken, in meer of mindere mate, met elkaar zijn verweven. Onzemening is, en wellicht is dat een gevolg van onze beperkte rechtsgeleerdheid, dat het scheiden van machten beter is dan balanceren rond het evenwicht. Voor de rest van dit artikel is de scheiding van de staatsmachten minder van belang, echter invloed heeft het terdege.

Bij het ontwerpen en ontwikkelen van enig informatiesysteem waarmee met één druk op de knop alle relevante gegevens worden opgeleverd zijn restricties, randvoorwaarden en eisen van belang die voortvloeien uit de drie samenhangende machten: wetgevend, uitvoerend en rechtsprekend. De wetgevende macht schrijft onder andere voor op welke wijze het bewijs verkregen mag worden, wat als bewijs kan dienen etc. Het systeem en de methode van het leveren van de bewijslast zal op een manier moeten plaatsvinden zoals ook aan de uitvoerende macht is toegestaan en de rechtsprekende macht bepaald uiteindelijk de toelaatbaarheid van het bewijs, voert de wet uit en spreekt uiteindelijk recht. Het is mogelijk dat, naarmate verder richting het systeem wordt gewerkt, er veranderingen voorgesteld worden die betrekking hebben op een of meer van de staatsmachten (bijvoorbeeld wetswijziging).

Historie
Voordat we nader aandacht besteden aan de methode waarop en de eisen die gesteld worden aan het verkrijgen van toelaatbaar bewijs is voor het verkrijgen van meer inzicht in de voorgestelde oplossingsrichting een kort historisch overzicht op zijn plaats. In 1995 heeft de Tweede Kamer een onderzoek laten uitvoeren naar de gehanteerde opsporingsmethoden van justitie en politie. Dit onderzoek werd uitgevoerd omdat er veel negatieve kritiek was op de Nederlandse misdaadbestrijding, directe aanleiding was het IRT-schandaal. Het onderzoek werd geleid door Maarten van Traa. Het rapport van de commissie van Traa is een van de aanleidingen geweest voor de huidige Wet bijzondere opsporingsbevoegdheden (wet BOB), die op 1 februari 2000 in werking is getreden. De wet geeft de politie enorme bevoegdheden als het om opsporing gaat (observatie, undercoveroperaties, pseudokoop, infiltratie, burgerinfiltratie, inkijkoperaties in huizen, telecommunicatie-onderzoek, aftappen van computers en het vastleggen van verkeersstromen en verkeersgegevens.

De controle op het gebruik van bijzondere opsporingsmethoden wordt tegenwoordig uitgevoerd door de Officier van Justitie (OvJ), terwijl daarvoor de rechter-commissaris deze controle uitvoerde. Speciale gevallen hebben echter wel de toestemming van de minister van Justitie nodig (bijv. doorlaten van drugs of wapens). De wet BOB heeft alleen betrekking op stelselmatige politiepraktijken zodat sommige opsporingsmethoden buiten deze wet vallen.

Het resultaat is dat de verregaande politiebevoegdheden een trend laten zien die zeer voorzichtig zijn geïntroduceerd, uitsluitend beperkt tot een kleine groep ernstige zaken en zich als een olievlek hebben uitgebreid tot methoden die veel gebruikt worden ook in veel minder ernstige zaken (A.C. ’t Hart, hoogleraar strafrecht Universiteit van Leiden). Als voorbeeld wordt hier genoemd: anonieme getuigen bij aanrijdingen, delict deelname aan een criminele organisatie toepassen op vredesactivisten, flessentrekkerij of graffiti en undercoverwerk bij schilderijendiefstal en zelfs heling. Ook de legitimatieplicht loopt een grote kans om op eenzelfde wijze te worden “misbruikt”, voorbeelden zijn nu al te noemen. Minister Donner zou graag de privacy regels willen versoepelen ten behoeve van de strijd tegen het terrorisme en de zware misdaad, waarbij informatie-uitwisseling zonder gerechterlijk bevel wordt vergroot en de maatregelen om uitvoerige DNA-analyse zijn reeds verruimd. Met deze maatregelen gaat Nederland veel verder dan de andere landen in Europa. De intentie van deze maatregelen kunnen op dit moment wel juist zijn maar hoe worden ze nog over enige tijd toegepast.

Als we de jaarverslagen van de voormalige BVD en de huidige AIVD erop nalezen zien we dat met name de zwaarste onderzoeken, de zogenaamde A-onderzoeken, de laatste jaren toenemen, terwijl het totale aantal onderzoeken afneemt.

Daar komt bij de nieuwe wet op de computercriminaliteit II. Op dit moment is nog een gerechtelijk bevel nodig voor het doen van onderzoek en opsporing in een bedrijfsnetwerk, in de voorgestelde wetgeving volstaat een bevel van de Officie van Justitie. De OvJ heeft daarbij ook de mogelijkheid om het bevel tot “bevriezen” van de infrastructuur af te geven. Dus naast het gegeven dat opsporingsambtenaren bedrijfskritische gegevens kunnen inzien wordt ook nog de continuïteit van de bedrijfsvoering ernstig verstoord.

Conclusie
Het soort bijzondere opsporingsmethoden wordt steeds breder, de bevoegdheden van justitie en politie worden steeds verder verruimd, om bepaalde opsporingsmethoden toe te passen worden de bevoegdheden lager in de politiële en justitiële hiërarchie gelegd en het originele toepassingsgebied van deze maatregelen verschuift naar andere vormen van overtredingen en misdaad. Het toch al fragiele evenwicht tussen de noodzakelijkheid van een efficiënte en effectieve misdaadbestrijding enerzijds en de fundamentele rechten anderzijds lijken steeds verder uit balans te geraken.

Enerzijds bepleiten wij:

– dat het toepassingsgebied van de bijzondere opsporingsmethoden wordt beperkt;

– dat het proportionaliteitsbeginsel beter wordt toegepast;

– dat het toezicht wordt aangescherpt op het toepassen van één of meerdere bijzondere methoden van opsporing voor een bepaald delict, zowel vooraf, tijdens en achteraf dient gecontroleerd te worden;

– dat een transparant proces wordt ingericht voor het toepassen van bijzondere methoden van opsporing.

Anderzijds, geredeneerd vanuit de huidige stand van zaken en de optiek van een bedrijf, organisatie of instelling is het beschikken over een systeem waarmee met een druk op de knop de bewijslast kan worden geleverd eerder noodzaak dan luxe. Continuïteit en het beschermen van de bedrijfskritische gegevens verdient namelijk specifieke aandacht, zeker nu de tendens is dat politie en justitie verruimende bevoegdheden verkrijgen.

Posted in 2. Probleem & Aanleiding | 2 Comments »

Een inventarisatie

Posted by Paul op 24 juni 2006

Hieronder een inventarisate van relevante aspecten per onderdeel.

Voor het opzetten van het systeem kunnen we de volgende onderdelen onderscheiden:

Het vastleggen van de brongegevens

Juridische aspecten

  • Welke wet- en regelgeving is van toepassing (WBP, Strafvordering, Telecomunicatiewet, etc.)
  • Wat mogen we allemaal vastleggen
  • Hoe moet het zijn vastgelegd
  • Hoe lang mogen we het bewaren
  • Wie heeft het formele eigenaarschap
  • Wat is het nationale, Europese en internationale kader (verschillen in privacy wetgeving)

Forensische aspecten

  • In hoeverre kan de integriteit van de brondata gewaarborgd worden.
  • In hoeverre kan toetsbaarheid achteraf gewaarborgd worden
  • In hoeverre kan de werkelijke identiteit achteraf worden bepaald.

Technische aspecten

  • Wat zijn praktisch haalbare mogelijkheden om grote hoeveelheden brondata op te slaan (bijv. centraal vs. decentraal)
  • Hoe zijn verschillende brondata met elkaar te linken en te correleren

Organisatorische aspecten

  • Het topmanagement moet een onvoorwaardelijk draagvlak bieden.
  • De organisatie moet geinformeerd zijn over het feit dat brongegevens worden vastgelegd.
  • Scheiden van verantwoordelijkheden. Het juist vastleggen van de gegevens is een "dedicated" verantwoordelijkheid die niet gecombineerd kan worden met verantwoordelijkheden in de hier overig beschreven gebieden.
  • Er moet een duidelijke aanspeekbare verantwoordelijke partij zijn.

Het verzamelen van forensische bruikbare gegevens vanuit de brongegevens

Juridische aspecten

  • Zijn hier juridische waarborgen noodzakelijk, of is een geanonimiseerde verzameling (en correlatie?) altijd toegestaan.

Forensische aspecten,

  • Wat zijn benodigde waarborgen om een integere relatie met de brongegevens te waarborgen.
  • Hoe zorgen we voor bewijs dat voldoet aan de critiria: integriteit, onpartijdigheid, accuraatheid en controleerbaarheid van de bevindingen
  • Hoe zorgen we ervoor dat de toetsbaarheid/controleerbaarheid van de "data-harvesting" aan hoge eisen voldoet
  • Het koppelen van een identiteit aan de "harvested data" moet een hoge mate van betrouwbaarheid bieden
  • Uitgaande van grote infrastructuren, hoe kan brondata gecorreleerd worden, denk aan het aspect tijd, 1 werkelijke identiteit maar meerdere ICT-identiteiten

Technische aspecten

  • Hoe verzamel ik alle gegevens van de diverse log bestanden. Aandachtspunten zijn: toegangsauthorisatie, benodigde bandbreedte, standaardisering van opslagformaten.Een equivalent van het SNMP (Simple Network Management Protocol) zijnde SFMP (Simple Forensic Management Protocol) zou in dit geval bruikbaar zijn.

Organisatorische aspecten

  • Scheiden van verantwoordelijkheden. Het daadwerkelijk uitvoeren van het "verzamelen" is een verantwoordelijkheid die niet gecombineerd kan worden met verantwoordelijkheden in de hier overig beschreven gebieden.
  • Er moet een duidelijke (achteraf) aanspeekbare verantwoordelijke partij zijn.

Het vastleggen van forensische gegevens na het verzamelen

Juridische aspecten

  • Zijn hier juridische waarborgen noodzakelijk, of is na het verzamelen vastleggen altijd toegestaan. En zoja, voor hoelang en in welke beveiligde vorm (medium, onder wiens verantwoordelijkheid).

Forensische aspecten

  • Wat zijn benodigde waarborgen om een integere relatie in de toekomst met de brongegevens te waarborgen. Waarschijnlijk zullen de brongegeven op termijn overschreven worden omdat de retentieperiode overschreden is.
  • Identiteitsbepalingen moeten zonder gebruik van de brongegevens opgelost kunnen worden.

Technische aspecten

  • Waar en hoe sla ik de verzamelde gegevens op.
  • Hoe garandeer ik dat deze dat niet alsnog gemanipuleerd kan worden.

Organisatorische aspecten

  • Scheiden van verantwoordelijkheden. Het daadwerkelijk vastleggen van de verzamelde gegevens is een verantwoordelijkheid die niet gecombineerd kan worden met verantwoordelijkheden in de hier overig beschreven gebieden.
  • Er moet een duidelijke (achteraf) aanspeekbare verantwoordelijke partij zijn.

Het verstrekken van forensische gegevens

Juridische aspecten,

  • Hier zijn juridische waarborgen noodzakelijk. Aan wie en Door wie mogen vastgelegde gegevens verstrekt worden ne welke randvoorwaarden zijn er van toepassing. Bijv. voor hoelang en in welke beveiligde vorm (medium, onder wiens verantwoordelijkheid).

Forensische aspecten,

  • Wat zijn benodigde waarborgen om een integere relatie met de verzamelde gegevens te waarborgen en uiteindelijk de brongegevens te waarborgen.

Technische aspecten

  • Hoe lever ik de gegevens aan, zodanig dat een technische beveiliging aanwezig is en dat de verantwoordelijke ontvanger via een "watermerk" gekoppeld blijft.

Organisatorische aspecten

  • Scheiden van verantwoordelijkheden. Het daadwerkelijk vertrekken van de verzamelde gegevens is een verantwoordelijkheid die niet gecombineerd kan worden met verantwoordelijkheden in de hier overig beschreven gebieden.
  • Er moet een duidelijke (achteraf) aanspeekbare verantwoordelijke partij zijn voor zowel de verstrekkingsverantwoordelijkheid als zowel de bewaringsverantwoordelijkheid.

Het kwaliteitsproces (plan-do-check-act)

Juridische aspecten

  • Een toetsbaar kwaliteitsplan moet aanwezig zijn.
  • Voorstellen op wijzigingen in Nederlandse en Europese wet- en regelgeving dient gevolgd te worden.
  • Wijzigingen in Nederlandse en Europese wet- en regelgeving moeten getoetst worden aan het informatiesysteem.

Forensische aspecten

  • Chain of Custody process moet georganiseerd zijn.
  • Uitvoering moet controleeerbaar volgens standaarden en procedures verlopen zijn

Technische aspecten

  • Alle technische componenten die onderdeel uitmaken van het "Systeem" moeten intrinsiek gegevens verzamelen die het mogelijk maken om de kwaliteit van de uitvoering te toetsen en om de kwaliteit van de uitvoering te verbeteren.
  • Nieuwe technieken en oplossingen moeten geevalueerd worden op toepasbaarheid in het systeem.

Organisatorische aspecten

  • Een proces voor afhandeling van incidenten en klachten moet in plaats zijn. Informatie uit dit proces moet gebruikt worden om het "Systeem" te verbeteren.
  • De organisatie moet regelmatig gewezen worden op het feit dat brongegevens worden vastgelegd.

Posted in 1. Jurdisch, 2. Forensisch, 3. Technisch, 4. Mogelijke Maatregelen, 4. Organisatorisch | Leave a Comment »

Crime Scene Investigation – A guide for law enforcement

Posted by Paul op 24 juni 2006

 Click below link to open the document:
Crime Scene Investigation – A guide for law enforcement

Posted in 8. Diverse achtergrondinformatie | 2 Comments »

Doelstelling

Posted by Paul op 24 juni 2006

Als doelstelling, om voorgaand beschreven probleem te ondervangen, is de volgende omschrijving geformuleerd:

Doelstelling:

Ontwerp en ontwikkel een informatiesysteem dat zodanig is ingericht, dat met één druk op de knop alle relevante gegevens worden opgeleverd ter ondersteuning van het forensische onderzoek van een daartoe bevoegde autoriteit.

Hou rekening met voorwaarden die ten grondslag liggen aan:
het proces, het verzamelen, het vastleggen en het verstrekken van forensische gegevens zijn juridische aspecten, forensische aspecten, aspecten in relatie met bewijs en bewijslast, technische en organisatorische aspecten.

Omdat de "persoonlijke invulling" van de forensic investigator bij het onderdeel "data-harvesting" beperkt wordt zal er meer een vaste standaard van resultaat gerealiseerd kunnen worden.

Posted in 3. Doelstellingen | Leave a Comment »

Probleemstelling

Posted by Paul op 24 juni 2006

Onze probleemstelling is afgeleid van de doelstelling welke als eerst geformuleerd is.

Een forensisch onderzoek wordt uitgevoerd in het kader van een onderzoek naar misdaad.Een traditioneel "crime-scene" forensisch onderzoek is in opgebouwd uit het volgen van standaard (auditable) gedetaileerde fundamentele procedures als onderdeel van een standaard werkwijze . Voorbeeld: afsluiten "crime-scene" location, opdeling in grids etc.

Kernwaarden zijn limitering van externe niet-gerelateerde invloeden van buitenaf, handhaven kwaliteitsnivo, opsporen van verdachten maar ook bescherming van de personen die valselijk als verdachten kunnen worden aangemerkt. Met ander woorden: "integriteit, onpartijdigheid en accuraatheid van de bevindingen.

Een "ICT-scene" forensisch onderzoek op een uitgebreide complexe ICT infrastructuur (v.b. bedrijfsnetwerk, Internet) is vaak zodanig complex en gevarieerd dat er wel standaarden en procedures gedefinieerd kunnen worden, maar dat die alleen op een "high-level" nivo mogelijk zijn. Hierdoor onstaat veel ruimte voor de forensic investigator om een "persoonlijke invulling" te geven aan het onderzoek in detail. Bovengenoemde sleutelwaarden zijn daardoor minder, achteraf controleerbaar, aanwezig.

Wij hebben gekozen voor de probleemstelling:

Hoe moeten we de kernwaarden bewaken i.g.v. forensisch onderzoek in almaar groeiende complexere ICT omgevingen waarbij de "persoonlijke invulling" van de forensic investigator steeds meer aan invloed wint.

Posted in 2. Probleem & Aanleiding | Leave a Comment »

Welkom op de BLOG van Edwin en Paul

Posted by Paul op 24 juni 2006

Welkom op de BLOG van Edwin en Paul.

In het kader van onze opleiding Master in Information Security Management aan de TU-Eindhoven en de TIAS Tilburg is deze BLOG opgestart.

De indeling is als volgt.

De Pagina's, benaderbaar via de "buttons" aan de bovenzijde van het scherm geven een uitleg en samenvatting van de discussies middels postings. Tenminste dat was de bedoeling. Na het toevoegen van categorieen worden de buttons aan de linkerkant van het scherm gevuld en zijn de buttons aan de bovenzijde van het scherm doorgelinked naar de linkerkant. Excuses voor deze onhandigheid.

De gebruikte taal is Nederlands en Engels (het zgn. nedglisch).

Hieronder volgen een aantal definities van het woord Forensics:

  1. Relating to, used in, or appropriate for courts of law or for public discussion or argumentation.
  2. Of, relating to, or used in debate or argument; rhetorical.
  3. Relating to the use of science or technology in the investigation and establishment of facts or evidence in a court of law: a forensic laboratory.
  4. Belonging to courts of justice.
  5. Used of legal argumentation

Posted in 1. Inleiding | Leave a Comment »

Linkt to: Forensic Science Service Ltd., which is a UK Government owned company (GovCo).

Posted by Paul op 24 juni 2006

Forensic Science Service Ltd., which is a UK Government owned company (GovCo).

http://www.forensic.gov.uk/index.htm

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »

Problem Definition to Reach Goal (Replaced)

Posted by Paul op 6 juni 2006

Goal:
Design Information Security Systems with intrinsic forensic investigation capabilities.

I propose in our BLOG to focus on the following problem definition as part of our journey to the above mentioned goal:

Identity

We have to know the identity of the person actually using the ICT infrastructure and applications.
Of course authentication is required but additionally identification need to be be assured via additional mechanisms. E.g. Real Identity can be expressed in a probability.

Posted in 2. Probleem & Aanleiding | 6 Comments »

Goal: Design Information Security Systems with intrinsic forensic investigation capabilities

Posted by Paul op 29 mei 2006

I would consider the following (brain dump):

  1. Identification. We have to know the identity. Of course authentication is required but additionally identification can be assured via captured usage patterns. Real Identity can be expressed in a probability.
  2. Time. To capture all information from all (ICT and other) infrastructures we need ONE consistent time valid for all components being part of the infrastructure (e.g. can also include building access systems). Based on this time we can correlate usage patterns.
  3. All objects (e-mail message, internet traffic etc.) entering our infrastructure requires a pre-defined trust level related to the authorisations on our infrastructure. The trust level incorporates measures to know the identity. The higher the authorisation, the higher the required trust level for the identity.
  4. Every activity on our infrastructure (device, middleware, application and information) is captured in an audit trail including an unique identifier for the identity. Due to scalebilty reasons the capturing is done by independant devices (including storage).
  5. Usage audit trails are required for: ICT devices, middleware, applications and information.
  6. Forensic investigaton requests can be done based on: identity and other to be defined entry points.
  7. Based on irregular usage pattern by an identity more extensive audit trails automatically can be activated.
  8. Linkage is required with the bussiness risks.
  9. Later more….

Posted in 3. Doelstellingen | Leave a Comment »

Digitaal Forensisch Onderzoek

Posted by Edwin op 26 mei 2006

Ter aanvulling op het interessante verhaal van Frans Kolkman ben ik nog wat verder gaan zoeken wat er te vinden was over digitaal rechercheren in Nederland.

Uiteraard doet het NFI hierin het nodige. Het forensisch onderzoek, wat het NFI noemt Digitale Technologie, is gesplitst in drie delen: Beeldonderzoek en Biometrie, Gesloten systemen en Open systemen. Meer hierover is te lezen op:

http://www.forensischinstituut.nl/NFI/nl/Typen+onderzoek/Items/Digitale+Technologie.htm

Tot voor zover ik heb kunnen vinden laten de politieregio's op het net niet veel inhoudelijke informatie achter. De politie heeft dit type onderzoek ondergebracht in zeven Bureaus Digitale Expertise. De Bureaus Digitale Expertise (BDE's) zijn samenwerkingen tussen twee of meer politieregio's. Aanvullende informatie op het verhaal van Frans Kolkman kan gelezen worden op:

http://www.iusmentis.com/beveiliging/hacken/opsporing-politie/

Door verder te kiezen voor: http://www.iusmentis.com/ is nog meer over het vakgebied te vinden.

De commerciele bureaus die digitaal rechercheren hebben meer informatie online. Een aardige die ik vond was van SecyourIT die plaatsen Digitaal rechercheren onder het kopje preventief onderzoek…..????

http://www.secyourit.nl/

Buitengewoon informatierijk is http://www.furillo.net/ en als tip om door te klikken naar: http://www.furillo.net/NL/high_tech_crime.

Of Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries

De site www.forensics.nl is eveneens vol met informatie: documenten, tools, etc.
Hoe de Amerikaanse Justitie het doet: http://www.cybercrime.gov/s&smanual2002.htm

Wat zijn nu de kwaliteitseisen die je kunt stellen aan een goed (commercieel) digitaal recherche bureau?

Zijn daar al normen voor?

Zou het een oplossing zijn indien de wettelijke mogelijkeheden verruimd worden naar het Amerikaanse model?

Posted in 8. Diverse achtergrondinformatie | 1 Comment »

Anti-Forensics

Posted by Edwin op 24 mei 2006

Als er in het forensisch onderzoek gezocht wordt naar sporen kan de andere kant dit weer proberen zo moeilijk mogelijk te maken, zo niet onmogelijk. Het wissen van sporen, Anti-forensics.

Ik heb hier het een en ander over gevonden dat zeker de moeite waard is eens door te nemen.

http://www.cyberforensics.purdue.edu/docs/Lockheed.ppt

http://www.networkintrusion.co.uk/foranti.htm

http://www.metasploit.com/projects/antiforensics/

http://layerone.info/2006/presentations/Anti-Forensics-LayerOne-Paul_Henry.pdf

Is de PC wel de bron waar we de sporen kunnen zoeken? Hebben de handige jongens hun sporen niet gewist? Welke tegenmaatregelen zijn hierop te nemen?

Posted in 8. Diverse achtergrondinformatie | Leave a Comment »