omgang met digitale sporendragers b-40.20

OMGANG MET DIGITALE SPORENDRAGERS
B-40.20
Auteur: Marco Doodeman (Politieacademie)
© Elsevier Overheid bv (2008)
1
INLEIDING
Computers en digitale gegevensdragers komen we steeds meer tegen in ons werk. Ze
worden steeds belangrijker voor de waarheidsvinding. Een harde schijf, diskettestation, cdromdrive of dvd-romdrive kunnen digitale gegevens bevatten, die voor het onderzoek van
belang zijn. Bij vrijwel ieder rechercheonderzoek worden computers en de genoemde
opslagmedia aangetroffen. Er moet dan direct worden beslist of al dan niet tot
inbeslagneming van (rand)apparatuur moet worden overgegaan en/of om ter plaatse
computers te doorzoeken.
Een digitaal rechercheur weet precies hoe er met digitale sporen moet worden omgegaan. In
de ideale situatie is hij bij het aantreffen van de apparatuur aanwezig. Bij een geplande
doorzoeking is dat vaak het geval. Een digitaal rechercheur kan zeggen of digitale gegevens
ter plekke kunnen worden veiliggesteld of dat het beter is om de apparatuur in beslag te
nemen en op het bureau een kopie te maken van de harde schijf (imagen).
Er bestaan echter veel situaties waarbij geen digitaal rechercheur aanwezig is. Om dan toch
de digitale gegevens veilig te stellen dienen de computers en de daaraan gekoppelde
opslagmedia op een goede manier in beslag te worden genomen, zodat op een later tijdstip
de gegevens kunnen worden veiliggesteld. Ten behoeve van het latere onderzoek is het van
belang dat er zoveel mogelijk digitale sporen beschikbaar komen en dat alle aanwezige
opslagmedia in beslag worden genomen.
2
VOORBEELDEN
Hieronder is een aantal willekeurige voorbeelden opgenomen van diverse soorten computers
en randapparatuur. Het kan best mogelijk zijn dat je tijdens een doorzoeking apparatuur
aantreft die afwijkt van de afbeeldingen; het zijn slechts voorbeelden. Bij elk voorbeeld is
aangegeven hoe je dient te handelen in het belang van de waarheidsvinding.
Let op: Wanneer hierna is aangegeven dat apparatuur in beslag moet worden genomen, is
het natuurlijk wel noodzakelijk dat dit wordt gedaan door degene die ertoe bevoegd is. Bij
een doorzoeking is dat bijvoorbeeld altijd de doorzoekende autoriteit (RC, OvJ, HOvJ en in
enkele situaties de lagere opsporingsambtenaar).
.
2.1
Computers
Normale computer
All-in-one behuizingen
Bij een normale stand-alone computer is het voldoende de systeemkast en de daaraan
gekoppelde externe opslagapparatuur (hierover later meer) in beslag te nemen.
© Elsevier Overheid bv (2008)
Wat te doen?
- Neem de computer in beslag.
- Als de computer nog ingeschakeld staat:
• neem telefonisch contact op met een digitaal rechercheur. Hij kan vaststellen of er
wellicht processen draaien die opsporingstechnisch beter niet beëindigd kunnen
worden;
• maak een foto van datgene dat je op het beeldscherm ziet;
• beweeg af en toe de muis om te voorkomen dat de screensaver start;
• raak de toetsen op het toetsenbord niet aan.
- Neem contact op met een digitaal rechercheur als je vermoedt dat de computer deel
uitmaakt van een (bedraad of draadloos) netwerk. In dit geval kan het zijn dat belangrijke
gegevens niet gevonden worden op de lokale harde schijf, maar op die van een andere
computer in het netwerk.
- Wanneer je vermoedt dat er gebruik wordt gemaakt van verschillende wachtwoorden
en/of pass phrases1, zoek dan vooral naar briefjes of krabbels in de buurt van de
computer (bijv. onderzijde keyboard). De praktijk wijst uit dat mensen de neiging hebben
om een wachtwoord nabij de computer te noteren.
Laptop
Wat te doen?
- Neem de laptop in beslag, inclusief de netvoeding, kabels en dergelijke.
- Inbeslagneming van een los beeldscherm, toetsenbord of docking station is niet nodig.
Macintosh (Apple)
Wat te doen?
- Overleg bij aantreffen met een digitaal rechercheur. Hij kan bepalen welk deel van de
configuratie in beslag moet worden genomen.
1
Een pass phrase is een lang wachtwoord in de vorm van een zin.
© Elsevier Overheid bv (2008)
Nieuwe behuizingen en case modding
Computers lijken niet altijd op de oude vertrouwde vaalwitte kasten. Je treft ze al aan in de
vorm van een teddybeer, een krat bier en een stereo-installatie. In opkomst zijn de media
center pc’s, waarbij televisie, video, audio en computer volledig zijn geïntegreerd in een
behuizing die absoluut niet aan een pc doet denken en toch zijn voorzien van een forse
harde schijf en een volledig besturingssysteem.
Er zijn pakketten in de handel waarmee ook spelcomputers zoals de X-box kunnen worden
omgebouwd tot normale computers.
Wat te doen?
- Als je vermoedt dat het apparaat dat in eerste instantie een videorecorder lijkt misschien
toch een computer is, kijk dan goed naar de achterzijde van het apparaat of er voor
computers kenmerkende connectoren, zoals USB-, netwerk- of keyboardaansluitingen
aanwezig zijn.
Achterzijde apparaat
2.2
Printers, faxapparaten en kopieermachines
Sommige professionele kantoorprinters beschikken over een harde schijf waarop belangrijke
gegevens achtergebleven kunnen zijn. In een woning worden meestal eenvoudigere printers
aangetroffen die evenals eenvoudige kopieermachines vaak niet interessant zijn voor het
onderzoek. Faxapparaten daarentegen beschikken vaak net als een telefoon over een
geheugen waarvan ter plaatse door een digitaal rechercheur een journaal uitgedraaid kan
worden. Ook in de zogenaamde ‘drie-in-een’ (of all-in-one) apparaten bevind zich een
geheugen dat ter plekke uitgelezen dient te worden.
Fax
© Elsevier Overheid bv (2008)
All-In-One
Wat te doen?
- Overleg bij aantreffen met een digitaal rechercheur.
- Laat de stekker van een faxapparaat in het stopcontact zitten. Dit omdat het geheugen
van een faxapparaat wordt geleegd op het moment dat er geen spanning meer op staat.
2.3
Cd-/dvd-writer
Wat te doen?
- Bij een externe cd- of dvd-writer hoeven alleen de schijfjes in beslag te worden genomen.
2.4
Routers en (wireless) accespoints
In de meeste bedrijfsruimten en veel woonhuizen wordt gebruikgemaakt van switches,
routers, al dan niet draadloos of zelfs via het stopcontact. Deze apparaten kunnen
belangrijke gegevens bevatten en dienen met zorg te worden behandeld. Een digitaal
rechercheur kan met behulp van een wifi-scanner een draadloos accespoint lokaliseren, bij
een ‘ouderwets’ bedraad netwerk volgt men de bedrading om gekoppelde apparaten te
vinden.
Wat te doen?
- Raadpleeg bij aantreffen een digitaal rechercheur.
2.5
Externe opslagapparatuur en de daarbij gebruikte opslagmedia
Opslagmedia zoals de bekende diskette en de cd-rom kunnen belangrijke gegevens
bevatten voor het opsporingsonderzoek. Maar houd er rekening mee dat er veel
opslagmedia bestaan die qua uiterlijk niet direct als zodanig worden herkend. Er bestaan
diverse types memory cards, memory sticks en USB-disks. Anderzijds kan je nog steeds
zip-, jazz- en tapedrives en andere oudere opslagmedia tegenkomen. Hierna is een overzicht
opgenomen van dergelijke minder bekende opslagmedia.
© Elsevier Overheid bv (2008)
2.5.1 Memory cards en sticks
Er verschijnen, mede door de opkomst van de digitale camera, steeds meer mogelijkheden
tot het opslaan van digitale gegevens op een klein plastic kaartje of een staafje. De
geheugencapaciteit loopt op tot 16 gigabyte (kan de tekst uit 800 encyclopedieën bevatten).
Deze kaartjes en staafjes kunnen behalve afbeeldingen alle mogelijke digitale gegevens
bevatten. De nieuwste kaartjes passen op de nagel van je pink.
Wat te doen?
- Neem aangetroffen geheugenkaartjes en of -staafjes in beslag.
- Plak nooit een sticker rechtstreeks op de kaart.
2.5.2 USB-drives
Een niet meer weg te denken opslagmedium is de USB-drive, die in vele
verschijningsvormen voorkomt. Fabrikanten gebruiken verschillende namen voor eenzelfde
product. Het gaat hier om een geheugeneenheid, al dan niet voorzien van een
schrijfbeveiliging, met een capaciteit van 16 megabyte tot 32 gigabyte. Je steekt de USBdrive in de USB-poort van de computer en beschikt daarna over een soort harddisk, maar
dan zonder bewegende onderdelen.
De vormgeving van USB-drives zijn aan verandering onderhevig. Tegenwoordig vind je ze
bijvoorbeeld in de vorm van een ballpoint, horloge of badeendje. Platte vormen zijn er ook.
Sommige zijn voorzien van een ring om aan de sleutelring te bevestigen.
Wat te doen?
- Neem aangetroffen USB-drives in beslag.
© Elsevier Overheid bv (2008)
2.6
MP3-spelers
Deze hebben de meest bizarre vormen en kunnen behalve geluidsbestanden alle soorten
digitale gegevens zoals foto’s, films, documenten en andere bestanden bevatten.
Wat te doen?
- Neem aangetroffen MP3-spelers in beslag.
2.7
Externe harddisks
Het raakt tegenwoordig in de mode om een harddisk te verpakken in een flitsend jasje (cover
of hardcase) en deze als externe of mobiele harddisk te gebruiken. Deze is evenals de USBdrive op iedere computer aan te sluiten en kan enorme hoeveelheden data bevatten, 500
gigabyte is tegenwoordig overal leverbaar. Net als de andere opslagmedia komen er
wekelijks nieuwe covers op de markt waarbij sommige zelfs draadloos (wifi) aan het netwerk
gekoppeld kunnen worden.
Wat te doen?
- Neem aangetroffen externe harddisks in beslag.
2.8
Tape drive
Een tape drive is in verschillende maten te koop en worden nog altijd gebruikt, vooral in
bedrijfsomgevingen. De tapes variëren in grootte van een camcorder tape (4 mm DAT-tape)
tot het formaat van een VHS-videocassette.
© Elsevier Overheid bv (2008)
Wat te doen?
- Neem aangetroffen tapes en drives in beslag en zo mogelijk ook de handleiding en
software ervan.
2.9
Mobiele telefoons
Een mobiele telefoon wordt niet alleen gebruikt om te telefoneren maar heeft vaak ook
andere functies. Het bevat een adresboek, agenda, een uitgebreid geheugen en vaak een
camera.
Wat te doen?
- Neem aangetroffen mobiele telefoons in beslag alsmede de lader en datakabel.
- Raak de toetsen niet aan (ook geen pincodes proberen!).
- Als de telefoon uitstaat niet aanzetten.
- Als de telefoon aanstaat, zorg dan dat die zo snel mogelijk aan een oplader wordt
gekoppeld.
- Probeer de PUKcode en de PINcode te achterhalen.
2.10
PDA’s
Personal Digital Assistents, ook wel elektronische agenda’s of organizers genoemd, zijn er
van eenvoudige elektronische agenda’s tot complete computersystemen in zakformaat. Met
de meeste PDA’s kun je ook telefoneren.
© Elsevier Overheid bv (2008)
Wat te doen?
- Neem aangetroffen PDA’s in beslag, inclusief kabels, netvoeding en handleidingen.
- Probeer de wachtwoorden te achterhalen. Kraken van een wachtwoord kan soms wel,
maar kost tijd!
- Zoek naar (meerdere) geheugenkaartjes (zie punt 2.5.1).
- Wanneer je met een PDA ook kunt telefoneren: zie de punten van de mobiele telefoon.
2.11
Digitale camera’s
Met een digitale camera kunnen afbeeldingen zijn gemaakt die voor het onderzoek van
belang zijn. Denk aan foto’s van relaties maar ook van dure vakanties (in verband met
financieel rechercheren). Daarnaast worden bepaalde instellingen en gegevens vastgelegd
(denk aan naam van de eigenaar). In een digitale foto wordt deze informatie onzichtbaar
opgeslagen.
Wat te doen?
- Neem aangetroffen digitale camera’s in beslag, inclusief kabels, oplader en handleiding.
- Zoek naar (meerdere) geheugenkaartjes (zie punt 2.5.1).
2.12
Navigatieapparatuur
Navigatiesystemen kunnen interessante gegevens bevatten, zoals gegevens van de
eigenaar, ingesteld thuisadres, gereden routes, aankomst- en vertrektijden en in sommige
gevallen zelfs informatie over de snelheid waarmee gereden is en eventuele botsingen.
Wat te doen?
- Neem aangetroffen navigatieapparatuur in beslag
© Elsevier Overheid bv (2008)
3
OVERIGE AANDACHTSPUNTEN
-
Zet een apparaat dat uitstaat nooit aan en zet een apparaat dat aanstaat nooit uit.
Ga over tot inbeslagneming als je twijfelt of een voorwerp digitale sporen bevat.
Laat je niet verrassen. Op digitaal gebied volgen de trends elkaar snel op. Telefoons
met remote wipe zijn bijvoorbeeld in opmars. Hiermee kan de gehele inhoud van het
geheugen van de telefoon eenvoudig op afstand worden gewist. Morgen kan er bij
wijze van spreken een opslagmedium op de markt komen in een vorm waaraan je
nooit hebt gedacht.
© Elsevier Overheid bv (2008)

Download Report