Digital forensics

Digital forensics is een tak van de forensische wetenschap dat onderzoek doet naar digitale bewijzen of sporen van cybercrime of misdaad in bredere zin. Waar digitaal onderzoek voorheen overwegend bij strafrechtelijke onderzoeken werd toegepast, wordt het steeds vaker bij privaatrechtelijke geschillen ingezet.

Waar wordt digitaal onderzoek voor gebruikt?

In het algemeen wordt digitaal onderzoek gebruikt om een hypothese te ondersteunen of weerleggen in straf- of burgerlijke rechtbanken. In de particuliere sector wordt digitaal onderzoek ingezet bij interne bedrijfsonderzoeken en bij geschillen over rechten en eigendommen van individuen en/ of bedrijven.

Naast het identificeren van direct bewijs kan digitaal onderzoek ook worden gebruikt om bewijs te koppelen aan verdachten, alibi’s te verifiëren en de intentie van een onderzoeksobject te bepalen. In het geval van eigendomsrecht geschillen wordt digitaal onderzoek ingezet om bronnen te identificeren en de authenticiteit van documenten te achterhalen. Dit zijn vaak complexe onderzoeken waarbij een breed spectrum wordt onderzocht (tijdlijnen, locatiebepalingen, interacties). 

Beperking van digitaal onderzoek

Een beperking van digitaal onderzoek is het gebruik van encryptie. Door encryptie wordt digitaal onderzoek verstoord en in veel gevallen zelfs onmogelijk. Door het ontbreken of onvolledige nationale- en internationale wet- en regelgeving kunnen individuen en bedrijven nog niet gedwongen worden om encryptiesleutels vrij te geven. 

De verschillende vormen van digitaal onderzoek

Computer forensisch onderzoek

Doelstelling van een computer forensisch onderzoek is om de informatie zoals die op dat moment op het systeem staat opgeslagen uit te lezen. Het onderzoek richt zich op het systeem, opslag en elektronische documenten. Deze vorm van onderzoek omvat computers, digitale apparaten met beperkte functionaliteit en ingebouwd geheugen en statisch geheugen zoals USB-drives. Het onderzoek is breed en wordt uitgevoerd met behulp van steekwoorden. Daarom worden de gegevens die geanalyseerd worden ongestructureerde gegevens genoemd.  

Forensisch onderzoek van mobiele apparaten

Het onderzoek van gegevens op mobiele apparaten richt zich op relatief eenvoudige gegevens zoals gespreksgegevens en communicatie per sms, e-mail en whatsapp. Ook kunnen locatiegegevens met zendmasten en ingebouwde gps-systemen worden achterhaald. 

Forensisch netwerk onderzoek

Forensisch netwerk onderzoek richt zich op de analyse van computernetwerkverkeer. Dit kan zowel lokaal (LAN), in een beperkte omgeving (WAN) of op het internet. Doelstelling is om informatie en bewijsmateriaal te verzamelen of het detecteren van mogelijke ongewenste indringing van het netwerk. 

Dataverkeer wordt het meest onderschept in de vorm van een netwerkpakket dat bestaat uit besturingsinformatie en gebruikersinformatie. Deze gegevens blijven vaak slechts kort beschikbaar of alleen tijdens de activiteit waardoor deze vorm van onderzoek intensief en reactionair is. 

Forensische data-analyse

Forensische data-analyse richt zich op frauduleuze patronen in de applicatiesystemen en de onderliggende databases. Dit onderzoek is vaak onderdeel van het computer forensisch onderzoek. Het verschil met computeronderzoek is dat de forensische data-analyse zich richt op applicatiesystemen waardoor er gericht onderzoek gedaan kan worden. Daarom worden de gegevens die worden geanalyseerd gestructureerde gegevens genoemd.

Forensisch onderzoek databases

Forensisch onderzoek van databases richt zich op databases en de metadata van de databases. De metadata geeft informatie wie wanneer heeft gedaan op de betreffende computer. Logbestanden en gegevens in RAM (random access memory) worden gebruikt om een tijdlijn te creëren en om informatie te herstellen.