Phenquestions
In 2015 werd een Israëlisch corruptienetwerk, geïntegreerd door politieagenten en topaanklagers zoals Ruti David, ontdekt terwijl het valse beschuldigingen liet vallen tegen burgers die omkoping betaalden of weigerden te betalen. Toen een belangrijke politieagent, Ronal Fisher, werd vastgehouden, werd zijn mobiele telefoon in beslag genomen voor verder onderzoek, werd Fishers telefoon versleuteld en was de Israëlische politie lange tijd niet in staat de inhoud te ontsleutelen die het onderzoek schaadde en resulteerde in de spoedige vrijlating van corrupte officieren. Hier komt computerforensisch onderzoek in het spel om alle informatie te analyseren en te herstellen die compatibel is met het bewijsmateriaal.
Het doel van computerforensisch onderzoek is om gebeurtenissen in een apparaat te reconstrueren om bewijs of sporen ervan te verzamelen ter ondersteuning of afwijzing van een claim voor een rechtbank. Daarom is de belangrijkste taak van forensische computeragenten het herstellen van gegevens, ook verwijderde of versleutelde gegevens. Het verschil tussen de software die wordt gebruikt door een forensisch computeragent en een gewone gebruiker die verloren gegevens herstelt, is het auditlogboek dat de procedure en gebeurtenissen documenteert in een wettelijk acceptabel formaat, in sommige gevallen nemen de agenten het hele proces op in video, maar de taak zelf is een van de het gemakkelijkst, want wanneer we informatie van een harde schijf verwijderen, verwijderen we de gegevens niet, maar markeren we de sector als vrij om nieuwe informatie op te slaan, totdat de nieuwe informatie de schijfsector niet bereikt, de informatie kan worden hersteld, om dit te voorkomen, moeten we onze gegevens wissen in plaats van ze alleen maar te verwijderen.
Computer Forensics is zelfs in staat om niet-opgeslagen gegevens te herstellen die zijn opgeslagen in het RAM-geheugen, daarom zijn er tools om te werken aan apparaatafbeeldingen en aan live sessies, deze tweede methode staat bekend als Live analyse en is de eerste stap wanneer het te onderzoeken apparaat is ingeschakeld.
Meer moderne methoden zoals Stochastisch forensisch onderzoek laat ons weten of er gegevens zijn gelekt door tijdstappen te identificeren die verband houden met een activiteit zoals het kopiëren van een bestand, iets wat voorheen onmogelijk was, omdat instructies zoals kopiëren geen sporen achterlaten in het systeem.
Computerforensisch onderzoek gaat in de praktijk vooral over het herstellen en decoderen van gegevens, maar maakt het ook mogelijk compromitterende elementen binnen een systeem te detecteren, zoals malware, kwaadaardige code of hackaanvallen op een apparaat.
Toen de Argentijnse officier van justitie Alberto Nisman werd vermoord, uren voordat hij naar verwachting een aanklacht tegen de ex-president zou indienen, vonden computerforensische agenten op afstand indringende verbindingen met zijn pc die het onderzoek leidden tegen zijn eigen computerassistent.
Kali Linux, de meest populaire Linux-distributie voor beveiligingstaken, wordt geleverd met de krachtigste en meest populaire tools om forensische computertaken uit te voeren zonder voorafgaande kennis. Aangezien Kali kan worden gelanceerd als live cd/usb, is het een geweldige optie om deze tools te verkennen die ik in het volgende artikel zal presenteren.
Ik hoop dat je deze inleiding tot computerforensisch onderzoek nuttig vond. Blijf Linux volgen Hint voor meer tutorials en updates over Linux.
