Om een gevoel te krijgen wat met forensisch onderzoek mogelijk is, hebben we forensisch onderzoeker Heiko R. opgedragen een normale pc eens goed te onderzoeken. Heiko beschrijft hoeveel informatie hij over de eigenaar wist te achterhalen, zonder daar veel moeite voor te hoeven doen.
Heiko: Voor de test ontving ik een image van ongeveer 320 GB. Deze bevat twee interessante partities, vermoedelijk eentje voor het besturingssysteem en eentje voor de gegevens. Het hulpmiddel van mijn keuze is in dit geval Autopsy onder DEFT Linux. Ik maak eerst een nieuwe case aan en importeer de image. Een eerste blik op de eerste partitie doet al vermoeden dat het om een computer met Windows XP gaat.
Vervolgens richt ik mijn aandacht op de map ‘Documents and Settings’. Hierin bevindt zich een map ‘miriam’. Het volgende doel is de map ‘Bureaublad’. Hierin valt mijn oog op een bestand ‘adressen_firma.xls’, dat echter gewist is. Het terughalen en herstellen van dit bestand vergt niet meer dan een enkele muisklik. Het gaat om een Excel-tabel met contactgegevens van collega’s, deels inclusief privénummers en -adressen. Ook Miriam bevindt zich in dit bestand – met volledige naam, geboortedatum en privéadres. De dame is duidelijk getrouwd, want ze heeft ook een tweede Gmail-adres met een andere achternaam. Haar functie bij het bedrijf waar ze werkt, ken ik nu ook – een ideale basis voor gerichte phishing.
Alternate Data Stream
Een document met de naam ‘Anamnese-blad.pdf’ wekt mijn interesse. Het gaat om een leeg formulier dat via internet is gedownload, althans dat is waar een Alternate Data Stream ‘Zone Identifier’ op wijst. De inhoud ‘ZoneID=3’ zegt mij dat het bestand van het internet af komt. Twee gewiste documenten ‘huwelijksakte.(xxx)’ laten zich niet zomaar terughalen, maar met andere gereedschappen lukt dat misschien wel.
Uit de gescande deelnamebevestiging voor een bijscholingsbijeenkomst maak ik op dat haar man ‘Mark’ heet en iets met bouwkundige planning doet. De overige bestanden op het bureaublad interesseren mij even niet zo, het zijn voornamelijk recepten.
Miriam leest haar privémail vermoedelijk met Thunderbird en ik herken grote bestanden met mailgegevens. Op dit punt ga ik niet verder – ik ben immers geen stalker – maar niets wijst erop dat ik haar email niet zou kunnen lezen. Ook ga ik niet proberen het (vermoedelijk opgeslagen) wachtwoord voor haar mail-account uit te lezen. Na deze eerste ronde stort ik mij op de tweede partitie. Ze lijkt gevoel voor orde te hebben: alles is keurig netjes op thema in submappen gegroepeerd.
Werk-gerelateerde data
Op het volgende niveau tref ik wederom een map ‘miriam’ aan met daarin een map die mij bijzonder interesseert: ‘WERK’. Hierin vind ik – eveneens gesorteerd – documenten met alle vroegere en huidige werkgevers, inclusief sollicitatiebrieven, arbeidscontracten en salarisgegevens.
De scan van een verzoek tot zwangerschapsverlof duidt erop dat het gezin met (minstens) één lid is uitgebreid. Ik vind een ex-werkgever uit de financiële branche en ook nog een verzekering en aanwijzingen voor een studie in het buitenland.
De volgende map waarmee ik me ga bezighouden, heet ‘SCANS’. Een rijbewijskopie verraadt de geboortedatum van ‘Mark’ (de echtgenoot). De scan van de huwelijksakte maakt mijn overzicht van het gezin compleet: het huwelijk vond plaats in 2009 in Almere. Mark komt uit het noorden, Miriam niet. In de map ‘Outlook’ vind ik meerdere PST-bestanden. De grootte doet me vermoeden dat er wel eens wat interessants in kan zitten. Zoals gezegd, blijf ik daar met mijn vingers vanaf. Een bestand genaamd ‘Contacten verloving.csv’, bezorgt mij desondanks een kijkje in Miriams kennissenkring.
Hobbies
Bovendien blijkt ze de altstem te zingen in een koor. Ook van de overige koorleden ken ik nu hun stemregister, geboortedatum, privételefoonnummer en van velen ook het mobiele nummer.
Interessant is ook de map ‘Belasting’, met daarin de belastingaangiftes van de afgelopen jaren (gezamenlijke aangifte). Of de bestanden van de verschillende aangiftes een wachtwoordbeveiliging hebben, ga ik echter niet testen. Uit doelloos bladeren door documenten (deels gewist, deels niet) maak ik op dat Miriam actief is in het bestuur van een kerkgemeenschap.
Ik besluit mij slechts oppervlakkig aan de map ‘Afbeeldingen’ te wijden. Ik vrees dat ook daarin veel te vinden is dat privé moet blijven. Een foto ‘Miriam5.jpg’ toont een mooie vrouw met halflang blond haar. Op een andere foto heeft ze weliswaar bruin haar, maar op de meeste foto’s is ze blond. Ik besluit dat de gewiste foto ‘Miriam in bad.jpg’ niet voor mijn ogen is bestemd. Voor testdoeleinden laat ik PhotoRec in de vrije ruimte naar gewiste afbeeldingsbestanden zoeken. Naast een hoop beschadigde bestanden toont de voorvertoning duidelijk nog meer foto’s uit de privésfeer: vakantiefoto’s, sollicitatiefoto’s, foto’s van privéplechtigheden en familiefeesten, portretten van allerlei mensen, foto’s van een bont beschilderde babybuik, foto’s van na de geboorte, bij het babyzwemmen, bij het geven van borstvoeding. Een toplessfoto aan het strand. Niets wat op de een of andere manier afkeurenswaardig is, maar ook niets wat een vreemde als mij aangaat.
Ik ben nog geen uur met de image van de harde schijf bezig geweest en nu voel ik mij niet meer zo prettig bij wat ik te weten ben gekomen. Ik besluit daarom de zaak op deze plaats te sluiten en de image te wissen.
Ook voor mij als forensisch onderzoeker was dit een spannend experiment, want gewoonlijk interesseer ik mij niet voor de persoon die een computer in bezit heeft gehad. Het is verbazingwekkend hoe snel ik mij daarbij een relatief goed beeld van de persoonlijkheid van de betreffende computergebruiker kon verschaffen. Een crimineel die bewust nog dieper gaat, vind probleemloos aanknopingspunten voor verdere acties: phishing via collega’s of bekenden, informatie over tegoeden en vermogens, enzovoorts. Redenen genoeg om je computer niet meer uit handen te geven en ervoor te zorgen dat er niets kan gebeuren wanneer je het apparaat mocht kwijtraken.
(Heiko Rittelmeier / c’t 12/2014, p.39)
