Interviews

In maart 2009 organiseert de afdeling Forensische Dienstverlening van Hoffmann Bedrijfsrecherche B.V. de eerste Advanced Forensic Sessions. Robert-Jan Mora, senior bedrijfsrechercheur en initiatiefnemer van de Sessions, gaf veel meer ruchtbaarheid aan de cursus dan aan andere cursussen. Deze cursus zou bijzonder zijn. Dat roept om kritische vragen.

Wat is er eigenlijk zo bijzonder aan de Sessions?

We hebben Lance Mueller en Aaron Walters weten te strikken.


Zijn dat dan de Brad Pitt en Angelina Jolie van de forensische derzoekswereld?
Ja, dat zou je zo kunnen zeggen. Het is daarom niet zo gek dat het nu storm loopt met aanmeldingen. Na slechts twee weken hadden we al zestien deelnemers, nog negen erbij en we zitten vol. En dat terwijl de Sessions pas in maart volgend jaar plaatsvinden. Ik begrijp het enthousiasme goed, ik ben zelf ook heel nieuwsgierig om te horen wat Lance en Aaron te zeggen hebben.


Hoffmann beweert dat die Lance Mueller een ‘expert met een grote reputatie wereldwijd’ is. Waarom zou hij in die categorie vallen?
Lance Mueller is een heel bekende figuur uit de Amerikaanse onderzoekswereld. Hij treedt als expert op in rechtszaken en heeft jarenlang bij Guidance Software gewerkt, de maker van het bekende forensisch onderzoekspakket Encase. Hij heeft de National Security Clearance van de Verenigde Staten en is daarnaast onder andere gecertificeerd als een Certified Information Systems Securiy Professional (CISSP).
Lance Mueller is internationaal erkend als een leider op het gebied van computerforensics en heeft nu zijn eigen bedrijf Bitsec Forensics. Bij Guidance was hij de global leader, de teamleider, van het incident-response team. Dus
als er ergens iets mis was, werden zij ingevlogen. Hij is ook als een senior consultant verbonden aan de overheid van de Verenigde Staten om cyberterrorisme en cybercriminaliteit te signaleren, voorkomen en bestrijden.
Daarnaast is hij een certified incident handler, dus op het moment dat er wordt ingebroken in netwerken laat hij er een specifieke methodiek op los om zo snel mogelijk bewijs te verzamelen maar ook om de systemen zo snel mogelijk up and running te krijgen. In die functie ben je op de hoogte van hackertechnieken en van waar eventuele sporen achterblijven. Als er ergens is gehackt, bij banken bijvoorbeeld, dan moet alles geïnventariseerd worden: waar is er allemaal ingebroken, wat is er gestolen, zijn er creditcardgegevens gekopieerd? Om dat alles te kunnen doen moet je een heel duidelijk beeld hebben van wat er aan de hand is.

En wie is die andere geweldenaar?
Aaron Walters is een echte wetenschapper maar ook iemand met heel veel praktijkervaring. Het is iemand die diep in de materie duikt en dat zal hij ons tijdens de Sessions ongetwijfeld laten zien.
Aaron Walters is master of science in computerscience, hij was research assistant en is bachelor in science of computer engineering. Hij is docent aan de Universiteit van Maryland. Hij geeft dikwijls lezingen op bijeenkomsten
van het Amerikaanse Ministerie van Defensie, de Cyber Crime Conference, the American Academy of Forensic Sciences en Europol. Hij heeft ook veelvuldig op Black Hat gesproken. Black Hat is een organisatie die in Las Vegas, Japan en Amsterdam allerlei bijeenkomsten organiseert over beveiligingsonderwerpen.
Hij heeft de forensische tool Volatility ontwikkeld (‘volatility’ betekent iets als ‘vluchtig zijn’, het staat voor het werkgeheugen). Voor hij aan dat programma werkte, was hij de director van Digital Forensics van Komoku, wat inmiddels weer is overgenomen door Microsoft. Hij wordt ook internationaal gezien als een leider op het gebied van forensisch onderzoek naar het werkgeheugen. Hij heeft veel onderzoek gedaan naar de integriteit van de kernel, het hart van het besturingssysteem en rootkit detection. Rootkits zijn zeg maar de achterdeuren die hackers installeren op het moment dat ze toegang tot een systeem hebben gekregen.

Maar naast deze twee heren die ieder twee dagen voor hun rekening nemen, zijn er nog drie andere docenten die samen een van de vijf dagen presenteren.
Ja, dat zijn drie van onze eigen bedrijfsrechercheurs maar vlak ze niet uit hoor! Joachim Metz lijkt een beetje op Aaron Walters: het is ook iemand die heel diep op de materie ingaat. Hij is nuchter en kritisch en heeft een creatieve geest. Hij is ingenieur en heeft onder andere de mastertitel in e-Technology, is CISSP en Bachelor in Computertechniek. Hij heeft voor zijn werkzaamheden hier veel te maken met rechtszaken, inmiddels is hij ook getuige-deskundige.
Hiervoor heeft hij gewerkt als netwerkbeheerder en –engineer bij verschillende grote bedrijven als ABN Amro en Interpay. Daar heeft hij zich beziggehouden met informatiebeveiliging. Verder heeft hij gewerkt als deployment en infrastructuurspecialist voor een software ontwikkelingsbedrijf. Hij heeft de nodige ervaring opgedaan met de ontwikkeling van software, ook bij Hoffmann, hij is zeer direct betrokken bij onze afdeling Research & Development.
De andere spreker, Remon Verkerk, verricht digitaal forensisch onderzoek om fraude, hacking, diefstal en andere malversaties aan het licht te brengen. Voor hij bij ons aan de slag ging, heeft hij acht jaar gewerkt voor de politie Amsterdam en ruim zeven jaar bij de Nationale Recherche als digitaal rechercheur, als expert. Hij maakte deel uit van het Team Digitale Expertise en de Unit Contraterrorisme en Activisme van het KLPD waar hij onder meer onderzoek deed naar georganiseerde misdaad,
contraterrorisme, grootschalige fraude, oorlogsmisdrijven en cybercrime. Hij maakte ook deel uit van de European Working Party on IT-Crime (EWPITC) van Interpol en is laatst gecertificeerd als Encase Certified Examiner (EnCE).
Ik, Robert-Jan Mora, ga zelf ook nog wat vertellen tijdens de Sessions. Ik ben senior digitaal onderzoeker bij Hoffmann waar ik in de complexere onderzoeken een coördinerende rol heb. Nu zit ik in het laatste jaar van
postdoctorale IT-auditing aan de VU. Verder ben ik onder andere CISSP, EnCE en GCFA gecertificeerd.Jarenlang was ik als forensisch onderzoeker verbonden aan de politie. Na de politie werkte ik voor Sdu waar ik me bezighield met de beveiliging en wereldwijde implementatie van het aanvraagsysteem voor het nieuwe paspoort. Daarna was ik systemmanager bij Interpay waar ik ook werkte aan de beveiliging van computersystemen.

Jullie adverteren met de tekst ‘Wees er snel bij want het aantal deelnemers is tot 25 beperkt’ maar is toch een normaal aantal voor een workshop?
Bij veel andere grote opleidingscentra voor forensisch onderzoek zit je soms met 50 of 100 man in een zaal. Maar met 25 man kan je je goed op de student richten, dus dan heb je gelegenheid om ze persoonlijke aandacht te geven.
Het zal trouwens ook qua deelnemers een internationale aangelegenheid worden. De deelnemers komen namelijk niet alleen uit Nederland maar ook uit de Verenigde Staten, Duitsland, Oostenrijk en Zwitserland. Daarnaast is het voor wat de functies betreft ook een gemêleerd gezelschap: de mensen zijn afkomstig uit het bedrijfsleven, een bekende buitenlandse software-ontwikkelaar van informatiebeveiliging bijvoorbeeld, maar er komen ook mensen van verschillende overheidsdiensten, zoals van een buitenlandse federale politiedienst.

Het Engels zal dan wel de voertaal zijn?
Ja. Het is qua aanmeldingen nu fiftyfifty tussen Nederlands- en Engelstaligen. Bij de gesprekken face to face zullen de Nederlanders onderling natuurlijk Nederlands spreken maar voor de rest zal het Engels de boventoon voeren.

Zijn er al plannen voor een follow-up?
Nou, als we straks met een wachtlijst van 30 man zitten dan zullen we volgend jaar misschien een tweede sessie plannen. Het is in principe wel de bedoeling dat we ermee doorgaan en dat we dan vooral rekening houden met wat onderzoekers nodig hebben. De Sessions zijn dus heel praktijkgericht.

In deze Sessions zou het om de ‘technieken en niet om de tool’ gaan. Wat betekent dat in normaal Nederlands?
Er zijn heel veel tools; onderzoekspakketten waar forensische onderzoekers zwaar op steunen. Wat de tool zegt is voor heel veel onderzoekers waar. En daardoor worden ze beperkt in hun mogelijkheden. Een van onze rechercheurs is vorig jaar afgestudeerd op de kwaliteit van een bepaald onderdeel binnen een onderzoekspakket. Dat hebben we gemeten en inzichtelijk gemaakt met testsets en de uitkomsten waren schrikbarend, die waren echt heel slecht. We hebben daar vorig jaar over gesproken voor een zaal van 200, 300 man en hun monden vielen open. Heel veel digitaal onderzoekers maken gebruik van Encase en soms van FTK (Forensic Tool Kit). In dit specifieke geval ging het om de kwaliteit van het herstellen van bestanden en op dat gebied presteerden juist Encase en FTK ronduit slecht. Dat betekent kort gezegd dat bewijs, belastend of ontlastend, verloren gaat en niet wordt meegenomen in een opsporingsonderzoek. Dat is uiteraard erg slecht voor de waarheidsvinding. En vandaar dat het in de Sessions om de techniek gaat en niet om de tool.

Zouden de Sessions ook andere professionals kunnen aanspreken?
De Sessions zijn niet alleen voor forensisch onderzoekers interessant. Ook technische auditors of incident responsemensen die zich bezighouden met beveiligingsincidenten op systemen, kunnen er veel van leren. Bij hun
onderzoeken kunnen ze dan namelijk de vraag betrekken of er gegevens achterblijven in het geheugen; wat voor informatie kan ik daar allemaal achterhalen, vinden allerlei afhandelingen wel goed plaats en kunnen wildvreemden gegevens weghalen? Ook met auditing kun je uit het geheugen interessante sporen of bewijs halen.

Is € 1.850,-- niet ontzettend veel geld voor vijf dagen onderwijs?
Dat is juist heel goedkoop. Softwareleveranciers maken een onderscheid tussen law enforcement en het bedrijfsleven; voor de politie wordt een laag tarief berekend en voor het bedrijfsleven een hoog tarief. Wij maken dat onderscheid niet. Wij overspoelen de deelnemers vijfeneenhalve dag lang - want de woensdagavond zit er ook bij – met goede informatie. Als je op dit gebied een andere willekeurige cursus zou volgen, betaal je snel het dubbele.

Jullie hebben het over ‘de nieuwste forensische technieken’, wat zijn die technieken dan wel?
Nou, wat ik net bijvoorbeeld al aanstipte: dat je uit het geheugen heel veel interessante gegevens kunt halen. Dat je weet waarop je moet zoeken als je bepaalde bestandskenmerken wil vinden; hoe je kunt toetsen of iets echt goed is; en hoe je de kwaliteit van de gegevens kunt meten. Het is een soort horizonverbreding.
Nog een voorbeeld: er is een techniek die file carving heet, dat slaat op bestanden die bij elkaar horen maar mogelijk verspreid opgeslagen zijn. Om die te achterhalen zijn nieuwe technieken voorhanden en wij zullen uitleggen
hoe die werken en wat de voordelen ervan zijn. Met oude onderzoekstechnieken komen er misschien 2000 niet-bruikbare bestanden uit, maar met de nieuwe techniek zijn het er mogelijk maar tien. Het verschil in kwaliteit is echt gigantisch, fantastisch dat die nieuwe software zo veel beter is.

Leunen jullie vooral op anderen of zijn jullie zelf ook nog innovatief bezig?
Tijdens ons werk voor Hoffmann komt er heel veel bewijs uit ICT-omgevingen van kantoren; Outlookachtige omgevingen.
Wij willen onderzoekers met onze open sourceprogramma’s voor Linux en Windows een alternatief bieden voor de commerciële onderzoekstools. En met onze software komen er bovendien vaak meer gegevens boven tafel. Dat is een van de dingen die we willen laten zien.

Wil je tot slot nog iets anders over de Sessions kwijt?
Wij willen deze workshop ook echt als sessies zien; je kunt bijvoorbeeld denken aan jazzsessions, waar het gezellig is. Maar de kwaliteit van de sessies moet wel perfect en uniek zijn. Uit die gedachte is het ook ontstaan: dat we cursisten kwalitatief goede sessies kunnen aanbieden. Betrouwbare kennisoverdracht is waar het kortom om gaat. Betrouwbaarheid is namelijk een sleutelwoord bij digitaal forensisch onderzoek, je moet zeker weten of het allemaal klopt. Daarom laten we twee dure deskundige specialisten overkomen: van die mensen weet je: dat zit helemaal snor.
En van datgene wat we zelf presenteren weet ik ook zeker dat we dat machtig zijn. Het moet een hele leuke en hele goede cursus worden, ’t zal anders dan anders zijn, de ervaring zal goed zijn. Lekker eten, een goede sfeer onderling, gezellig, een beetje community-achtig.