Bij het aanleveren van digitaal bewijsmateriaal voor gebruik in een essay dient dezelfde zorg te worden betracht als bij niet-digitaal bewijsmateriaal.
Misdaad maakt deel uit van het menselijk leven, en om een misdaad op te lossen, moeten rechercheurs de plaats delict reconstrueren en de acties van de verdachte en het slachtoffer analyseren, zodat elk bewijs kan worden geïdentificeerd en gebruikt om de vervolging te ondersteunen.
Naarmate de technologie is geëvolueerd, kunnen criminelen nu nieuwe methoden gebruiken om traditionele misdaden te plegen en nieuwe soorten misdaden te ontwikkelen. Misdaden gepleegd door het gebruik van technologie vereisen nog steeds dezelfde onderzoeksprincipes, ook al kan de plaats delict nu een virtuele omgeving zijn die moet worden beveiligd en onderzocht als digitaal bewijsmateriaal.
Digitaal bewijsmateriaal is informatie of gegevens met bewijskracht die wordt opgeslagen of verzonden door een computer of digitaal apparaat en kan als volgt worden gedefinieerd:
“Alle gegevens die zijn opgeslagen of verzonden met behulp van een computer die een theorie ondersteunt of weerlegt over hoe een overtreding heeft plaatsgevonden of die kritieke elementen van de overtreding aanpakt, zoals opzet of alibi (Casey, E., Dunne, R. (2004) Digital Evidence and Computer Misdaad forensische wetenschap, computers en internet, St. Louis: Academic Press).
Een breder scala aan apparaten kan grotere hoeveelheden gegevens bevatten, en digitaal bewijs kan worden gevonden op een toenemend aantal soorten opslagmedia, waaronder harde schijven van computers, mobiele telefoons en verwisselbare media, zoals geheugenkaarten.
Als getuige-deskundige en digitaal forensisch adviseur zie ik digitaal bewijs steeds vaker voorkomen in een breder scala van strafrechtelijke en civiele zaken, waaronder moord, illegale beelden, voogdijzaken, commerciële en arbeidsgeschillen. In deze gevallen kan het nodig zijn om bewijsmateriaal te onderzoeken om te bepalen of het is gebruikt om een misdrijf te plegen of te vergemakkelijken, en om ondersteunend materiaal van een van de partijen in een rechtszaak te identificeren.
Wil digitaal bewijs toelaatbaar zijn in de rechtbank, dan moet aan een aantal criteria worden voldaan, waaronder ervoor zorgen dat het bewijs niet is gewijzigd en dat er een auditspoor is bijgehouden met betrekking tot opslag en onderzoek op het apparaat of de bewijsdrager. Aandachtspunten voor het verwerken en onderzoeken van digitaal bewijsmateriaal worden als volgt gegeven:
De genomen maatregelen om digitaal bewijs veilig te stellen en te verzamelen mogen de integriteit van dit bewijs niet aantasten;
Personen die digitaal bewijs beoordelen, moeten hiervoor worden opgeleid;
Activiteiten met betrekking tot het vastleggen, beoordelen, opslaan of overdragen van digitaal bewijsmateriaal moeten worden gedocumenteerd, bewaard en beschikbaar zijn voor beoordeling.
(Ministerie van Justitie van de Verenigde Staten (2004) Forensisch onderzoek van digitaal bewijsmateriaal: een gids voor wetshandhaving, Washington).
De aard van digitale apparaten maakt ze daarom bijzonder gevoelig voor beschadiging of corruptie. Vanwege de constante eis dat apparaten fysiek kleiner moeten zijn maar groter in capaciteit, worden componenten kleiner en kwetsbaarder. Daarom kan zelfs het opslaan van apparaten in een ongeschikte omgeving leiden tot beschadiging en verlies van alle of een deel van de gegevens. cadeau.
Om de integriteit ervan te waarborgen, moet er daarom een ”keten van bewaring” van het bewijsmateriaal worden ingesteld. Dit komt meestal neer op een papieren spoor met de verblijfplaats van alle bewijsbronnen tijdens de hechtenis, samen met details over wie er toegang toe had, wanneer en welke acties er met hen zijn ondernomen. Dit, samen met een vergelijking en onderzoek van de digitale media zelf, zou een onafhankelijke recensent in staat moeten stellen te accepteren dat een bepaald stuk media na inbeslagname niet beschadigd of gecompromitteerd is.
Naarmate het begrip van hoe computers en mobiele telefoons werken in rechtszaken is toegenomen, hebben degenen die zaken onderzoeken waarbij digitaal bewijsmateriaal betrokken is, een betere kennis van inbeslagname- en verwerkingsmethoden. Voorheen was het niet ongebruikelijk om gevallen te vinden waarin digitaal bewijs was geactiveerd en misbruikt door een “nieuwsgierige” onderzoeker om “te zien wat er was”.
Gelukkig wordt er nu veel meer nadruk gelegd op audittrajecten en de juiste opslag van bewijsmateriaal, en dergelijke activiteiten door ongetrainde mensen zijn tegenwoordig zeldzaam. Naleving van richtlijnen voor computerbewijs is essentieel om ervoor te zorgen dat het overwogen bewijs het enige beschikbare is en om een beoordeling te baseren op gebrekkig bewijs dat slechts gedeeltelijk volledig is.
Als forensisch onderzoeker was ik onlangs betrokken bij een zaak die het belang benadrukte van het waarborgen van de volledigheid van digitaal bewijsmateriaal. De zaak betrof een werkloze man van middelbare leeftijd die alleen woonde en op zichzelf bleef, maar zijn computer gebruikte om met andere mensen in chatrooms te praten.
Hij had al acht maanden online contact met een van zijn vrienden via een chatroom voordat ze hem vroegen om hen een plezier te doen en een cheque te innen die hun bejaarde moeder niet kon incasseren. Zijn onkosten moesten betaald worden en hij zag er geen probleem in om het geld achteraf op de rekening van de moeder te storten. Helaas dacht hij niet eens dat de cheque frauduleus zou kunnen zijn totdat hij op een politiebureau belandde en werd ondervraagd omdat hij verdacht werd van het proberen een frauduleuze cheque te incasseren.
Hij gaf de politie zijn versie van de gebeurtenissen; gelukkig hebben ze ook zijn pc in beslag genomen. Ze onderzochten de computer en vonden aanwijzingen dat de beklaagde contact had gehad met de persoon, maar vonden geen bewijs voor de oorsprong van de cheque of het verhaal erachter. Hij werd later beschuldigd van fraude en moest voor de Crown Court verschijnen.
Gelet op het gedeeltelijke bewijs dat door de politie werd gevonden, begreep de raadsman van de verdachte de situatie goed genoeg om te weten dat een second opinion op de harde schijf van de computer moest worden uitgevoerd om te bepalen of het bewijs van mogelijke chatlogs op de computer te vinden was.
Pas na zorgvuldig onderzoek van verwijderde delen van de harde schijf en het gebruik van software voor gegevensherstel, werd de chatlogactiviteit geïdentificeerd en ondersteunde deze de versie van de gebeurtenissen van de respondent. Het register bewees dat beklaagde en zijn vriend meermaals met elkaar hadden gesproken en bevestigde ook de herkomst van de cheque. Na maanden van onderzoek, na de identificatie van dit bewijsmateriaal, werd de zaak op de ochtend van het proces gesloten.
Als het computerbewijs na inbeslagname niet voldoende was beschermd en beveiligd en als de aanwezige gegevens op enigerlei wijze waren gewijzigd, hetzij door gebruik van de harde schijf of door verkeerd gebruik van de schijf, dan had het relatief kleine cruciale stukje bewijsmateriaal verloren kunnen gaan en de verweerders versie van de gebeurtenissen kon niet worden onderbouwd.
Tijdens het beoordelingsproces van digitaal bewijsmateriaal is de standaardprocedure om het bewijsmateriaal aan te sluiten op een geschikt systeem met behulp van schrijfbeveiligingshardware, zodat er geen wijziging of toegang tot het oorspronkelijke apparaat mogelijk is.
Vanwege de vluchtigheid van digitaal bewijsmateriaal kunt u het beste een forensische “image” van de harde schijf of het opslagapparaat maken die bestaat uit een exacte byte-voor-byte kopie van alle gegevens en ruimte, zowel actieve bestanden als verwijderde informatie, die aanwezig is op het apparaat. Dit forensische beeld vormt vervolgens de basis voor onderzoek en analyse en het originele bewijsstuk kan vervolgens veilig worden opgeborgen.
Aan het begin van het forensische kopieerproces krijgt het apparaat een acquisitie-hashwaarde toegewezen (meestal een MD5-hashwaarde). Zodra het bewijs forensisch is verkregen (imaged, vergelijkbaar met gekopieerd), krijgt het bewijs een verificatie-hashwaarde.
Momenteel wordt aangenomen dat het hash-waardemechanisme aangeeft dat het verkregen bewijs een volledige en exacte kopie is van de gegevens op het originele apparaat en dat als de hash-waarden voor acquisitie en verificatie overeenkomen, er geen wijziging van het bewijs kan hebben plaatsgevonden .
Er zijn verschillende soorten hash-waarde, waaronder HAVAL, MD5 en SHA. De forensische arena heeft MD5-hashing omarmd als een methode om te bewijzen dat het ene bestand identiek is aan het andere of dat een stuk digitaal bewijsmateriaal niet is gewijzigd sinds het oorspronkelijk werd verkregen. De MD5-hashwaarde is vanaf 1991 ontwikkeld door professor Ronald L. Rivest.
Aangezien het MD5-algoritme is gebaseerd op een gegevensblok van 128 bytes, lijkt het erop dat de mogelijkheid bestaat dat de gegevens op een stuk digitale media kunnen worden gemanipuleerd, zonder dat de MD5-hashwaarde wordt gewijzigd. Daarom ben ik momenteel bezig met onderzoek om te proberen te verifiëren of een stuk digitaal bewijs kan worden gewijzigd zonder de MD5-hashwaarde te wijzigen.
Hierdoor kan een techniek worden toegepast waarmee digitaal bewijsmateriaal kan worden gewijzigd zonder de toegewezen hash-waarde te wijzigen. Het resultaat van dit onderzoek zou kunnen zijn dat het mogelijk is om een stuk digitaal bewijs voldoende te veranderen om de huidige hashing-technieken onbetrouwbaar te maken in de rechtszaal.
