Forensic image

Een forensic image is een exacte, bitgetrouwe kopie van een digitaal opslagmedium zoals een harde schijf, SSD, USB-stick of het geheugen van een systeem. In tegenstelling tot een gewone bestandskopie bevat een forensic image alle data op het medium, inclusief verwijderde bestanden, lege ruimte, slack space en verborgen partities. Deze volledige kopie maakt het mogelijk om digitaal forensisch onderzoek uit te voeren zonder het originele bewijsmateriaal aan te raken. De integriteit van het origineel blijft zo gewaarborgd, wat essentieel is voor juridische bewijsvoering.

Forensic imaging is een fundamentele techniek in digital forensics en wordt ingezet bij zowel strafrechtelijke onderzoeken als bij interne incidentonderzoeken binnen organisaties. Politie en justitie gebruiken forensic images om bewijs veilig te stellen bij cybercrime, fraude of andere digitale delicten. Beveiligingsbedrijven gebruiken ze om de oorzaak en impact van cyberincidenten te achterhalen. De kwaliteit van de forensic image bepaalt of bevindingen standhouden in een rechtszaak of audit.

Hoe werkt forensic imaging?

Het aanmaken van een forensic image begint met het gebruik van een write blocker, een hardware- of softwareoplossing die voorkomt dat er tijdens het kopieerproces data naar het bronmedium wordt geschreven. Dit is essentieel om de integriteit van het origineel te waarborgen. Elke schrijfactie, hoe klein ook, kan het bewijsmateriaal onbruikbaar maken voor juridische doeleinden.

Vervolgens wordt het volledige medium sector voor sector gekopieerd naar een doelmedium of bestand. Dit proces heet "imaging" en resulteert in een bestand dat exact dezelfde data bevat als het origineel, byte voor byte. Gangbare bestandsformaten voor forensic images zijn E01 (EnCase Evidence File), AFF (Advanced Forensic Format) en raw/dd-format. Het E01-formaat is het meest gebruikte omdat het naast de data ook metadata opslaat zoals de datum van acquisitie, de naam van de onderzoeker en de hash-waarden van de image.

Na het aanmaken worden cryptografische hash-waarden berekend, doorgaans MD5 en SHA-256, van zowel het bronmedium als de forensic image. Als deze hash-waarden overeenkomen, is bewezen dat de kopie een identieke weergave is van het origineel. Deze hash-waarden vormen de chain of custody en worden gedocumenteerd in het onderzoeksrapport. Populaire tools voor het aanmaken van forensic images zijn FTK Imager van Exterro, Guymager voor Linux-omgevingen en EnCase van OpenText.

Wanneer heb je een forensic image nodig?

Een forensic image is nodig bij elk incident waarbij digitaal bewijs moet worden veiliggesteld. Na een ransomware-aanval maak je forensic images van getroffen systemen om te achterhalen hoe de aanvaller is binnengekomen, welke data is geraakt en of er data is geexfiltreerd. Bij een vermoeden van datadiefstal door een medewerker stel je forensic images veilig van werkstations en mobiele apparaten. Bij een melding bij de Autoriteit Persoonsgegevens of in het kader van een juridisch geschil dienen forensic images als bewijsmateriaal.

Ook bij proactieve beveiligingsonderzoeken en incidentoefeningen worden forensic images gebruikt. Security teams oefenen met het analyseren van images om hun vaardigheden te ontwikkelen in het herkennen van indicators of compromise. Organisaties die vallen onder regelgeving zoals de NIS2-richtlijn of de AVG kunnen verplicht zijn om bij incidenten forensisch onderzoek uit te voeren, waarvoor forensic imaging de eerste stap is.

Timing is kritisch bij forensic imaging. Hoe sneller na een incident een image wordt gemaakt, hoe meer bewijs beschikbaar is. Vluchtige gegevens in het werkgeheugen (RAM) gaan verloren zodra een systeem wordt uitgeschakeld. Daarom maken forensische onderzoekers vaak zowel een image van het werkgeheugen (memory dump) als van de opslagmedia, om een zo compleet mogelijk beeld te krijgen van de staat van het systeem op het moment van het incident.

Voordelen en beperkingen van forensic imaging

Het belangrijkste voordeel is de mogelijkheid om digitaal bewijs te analyseren zonder het origineel aan te raken. Onderzoekers kunnen de forensic image vrij onderzoeken, bestanden herstellen, tijdlijnen reconstrueren en malware analyseren, terwijl het originele medium verzegeld en ongewijzigd blijft. Dit is fundamenteel voor de juridische toelaatbaarheid van digitaal bewijs. Daarnaast kunnen meerdere kopien van dezelfde image worden gemaakt voor parallelle analyses door verschillende onderzoekers of instanties.

Een beperking is de opslagruimte die forensic images vereisen. Een bitgetrouwe kopie van een schijf van 2 terabyte resulteert in een image van 2 terabyte, hoewel compressie de bestandsgrootte kan reduceren. Het kopieerproces kan uren duren bij grote opslagmedia, wat bij urgente incidenten een uitdaging is. Versleutelde schijven vormen een aanvullende complicatie: zonder de juiste sleutels is de data in de image niet leesbaar, ook al is de kopie technisch perfect. Cloud-omgevingen brengen eigen uitdagingen met zich mee, omdat je niet altijd fysieke toegang hebt tot de onderliggende opslaginfrastructuur.

Forensic imaging in de cloud

Met de verschuiving naar cloudinfrastructuur verandert forensic imaging. Bij traditionele on-premise systemen heb je fysieke toegang tot schijven en servers. In cloudomgevingen is dat anders: de onderliggende hardware wordt beheerd door de cloudprovider en is niet direct toegankelijk. Forensisch onderzoek in de cloud vereist daarom andere aanpakken. De meeste grote cloudproviders bieden API's waarmee je snapshots kunt maken van virtuele machines en opslagvolumes. Deze snapshots functioneren als een vorm van forensic image, hoewel ze niet altijd dezelfde diepte bieden als een traditionele bitgetrouwe kopie.

Bij incidenten in cloudomgevingen is het essentieel om vooraf afspraken te maken met de cloudprovider over forensische ondersteuning. Leg in het contract vast welke loggegevens beschikbaar zijn, hoe lang ze worden bewaard en welke medewerking de provider biedt bij forensisch onderzoek. Zonder deze afspraken loop je het risico dat cruciaal bewijsmateriaal niet beschikbaar is wanneer je het nodig hebt.

Veelgestelde vragen over forensic imaging

Wat is het verschil tussen een forensic image en een back-up?

Een back-up kopieert alleen actieve bestanden en mappen. Een forensic image kopieert het volledige opslagmedium inclusief verwijderde bestanden, lege ruimte en systeemdata. Een forensic image bevat daardoor informatie die in een gewone back-up ontbreekt, zoals sporen van verwijderde malware of gewiste communicatie.

Mag je een forensic image als bewijs gebruiken in een rechtszaak?

Ja, mits de chain of custody correct is gedocumenteerd. Dit betekent dat de hash-waarden van het origineel en de image overeenkomen, een write blocker is gebruikt tijdens de acquisitie, en het gehele proces is gedocumenteerd door een gekwalificeerde forensisch onderzoeker.

Hoe lang duurt het maken van een forensic image?

De duur hangt af van de grootte van het opslagmedium en de snelheid van de interface. Een harde schijf van 1 terabyte via USB 3.0 duurt gemiddeld twee tot vier uur. SSD's zijn sneller. Bij urgente incidenten kan een targeted image van specifieke partities sneller worden gemaakt.

Welke tools worden het meest gebruikt voor forensic imaging?

FTK Imager van Exterro is een gratis tool die breed wordt ingezet voor het aanmaken en verwerken van forensic images. EnCase van OpenText is een commerciele standaard in forensisch onderzoek. Guymager is een open-source alternatief voor Linux. Autopsy biedt een complete open-source forensische analysesuite.

Kan een forensic image worden gemanipuleerd?

Technisch is manipulatie mogelijk, maar de cryptografische hash-waarden maken dit detecteerbaar. Elke wijziging aan de image resulteert in een andere hash-waarde, waardoor de manipulatie zichtbaar wordt. Daarom is het essentieel dat hash-waarden worden berekend en gedocumenteerd direct na het aanmaken van de image.

Vergelijk aanbieders van digitaal forensisch onderzoek. Bekijk Digital Forensics en Investigation op IBgidsNL.