Ontmoet Duncan! De man achter onze dienstverlening op het gebied van digitaal onderzoek en advies
Maak kennis met onze collega Duncan, Geregistreerd en gecertificeerd forensisch digitaal onderzoeker, ethisch hacker en cybersecurity specialist. Sinds kort staat Duncan tevens geregistreerd als getuige deskundige voor Het Internationaal Strafhof, en mag hij zichzelf "Expert in cybersecurity, operations security and anti-forensics" noemen. Daar zijn wij uiteraard ontzettend trots op. Benieuwd naar de mens achter onze digitaal expert? We hebben Duncan gevraagd om wat meer over zichzelf te vertellen. Hieronder geeft hij antwoord op vragen over zijn functie én zijn privéleven.
· Wat houdt jouw functie precies in?
Digitaal forensisch onderzoek is heel breed. Je zou het kunnen omschrijven als ‘Zoeken naar informatie die niet gevonden wil worden’.
Ik zou het, grofweg, kunnen verdelen in drie typen onderzoek:
1/ Onderzoek aan digitale apparaten zoals een laptop, smartphone, smartwatch of een opslagmedium (Harde Schijf, USB-schijf, SSD, M.2).
Bij dit type onderzoek gaat het vaak om het zoeken naar bestanden die een gebruiker probeert te verbergen of (al dan niet opzettelijk) heeft verwijderd. Ook het in kaart brengen van activiteiten die zijn uitgevoerd met het digitale apparaat valt onder dit type onderzoek. Hierbij wordt altijd gekeken naar zaken op het apparaat zoals deze thans aanwezig zijn alsmede hoe deze in een verleden aanwezig waren. Het uitvoeren van een data-recovery en daarna de resultaten doorspitten is een belangrijk onderdeel van dit type onderzoek.
2/ Digitale opsporing. En andere vormen van ‘online-onderzoek’. Je zou hierbij kunnen denken aan het opsporen van de verzender van een dreigmail, of het opsporen van een crypto-dief of internet-oplichter. Ook het screenen van personen en groeperingen valt onder dit type onderzoek.
3/ Contra-expertise en advies. Bijvoorbeeld in opdracht van een advocaat die een oordeel vraagt over een uitgevoerd politie-onderzoek. Of een rechtbank die een advies vraagt over bevindingen van een advocaat of een openbaar aanklager. Bij dit type onderzoek gaat het veelal om het bepalen van de bewijswaarde van een digitaal verkregen bewijs.
Door de vele verschillende soorten onderzoek is mijn werk zeer afwisselend. Ik begeef mij dus in vele verschillende disciplines binnen het digitale vlak, maar blijf altijd in mijn ‘vertrouwde’ wereldje: de digitale wereld.
· Hoe ben je in het vakgebied van forensisch digitaal onderzoek terechtgekomen?
In de tijd dat het internet beschikbaar kwam voor particulieren (begin jaren ‘90) was ik verbaasd hoe eenvoudig het is om communicatie tussen twee personen te kunnen zien. Destijds bestond er nog geen noemenswaardige computer-beveiliging en er bestond nog geen computer-wetgeving. Het internet was dus een grote speeltuin waar alles kon en alles mocht.
Ik maakte mij ook zorgen: als deze uitvinding groter wordt en er meer mensen gebruik gaan maken van internet kan er een privacy- en security probleem gaan ontstaan. Ik raakte hierdoor gefascineerd en ben mij gaan verdiepen in computer-beveiliging.
In de opleidingen IT-beveiliging wordt al aandacht geschonken aan digitaal forensisch onderzoek en ik vond dit eigenlijk veel leuker. De ontwikkelingen in IT-Security gingen (en gaan) dermate snel dat ik altijd het gevoel had achter de feiten aan te lopen. Dit geldt veel minder voor Digital Forensics. En het digitale speurwerk ligt mij nou eenmaal meer dan het alsmaar voortdurende kat-en-muis-spel zoals dat in IT-security het geval is. Toch duurde het nog enige jaren voordat ik de switch maakte van IT-security naar Digital Forensics.
Misschien had ik veel eerder die overstap moeten maken, maar aan de andere kant heb ik veel profijt van mijn jaren in de IT-security. Als digitaal onderzoeker heb ik vaak te maken met veiligheids-aspecten.
· Wat vind je het meest uitdagende aspect van jouw werk?
‘Uitdagend’ klinkt erg positief. In die betekenis zie ik het als een uitdaging om gegevens te vinden waarbij anderen het al geprobeerd hebben zonder resultaat. Of waarvan men zegt: vrijwel onmogelijk.
Een prachtige uitdaging is om gegevens terug te halen van een opslagmedium die opnieuw is geformatteerd, daarna beveiligd is met een sterk wachtwoord terwijl de gebruiker vervolgens opzettelijk bestanden probeert te verbergen. En uiteindelijk blijkt het opslagmedium ook nog beschadigd te zijn. Onmogelijk nog iets terug te halen? Haha, kom maar op. Een fantastische uitdaging.
‘Uitdaging’ in de betekenis van ‘moeilijk’, of ‘lastig’ is het bijhouden van de laatste ontwikkelingen. Die gaan snel (al gaat het niet zo snel als in IT-security). De opkomst van AI (Artificiele Intelligentie), IoT (Internet of Things), Blockchains (Crypto) zit thans flink in de lift. Zaken die nog niet bestonden toen ik nog in opleiding was. Ik zal de laatste ontwikkelingen zelf moeten bijhouden, naast het dagelijkse onderzoekswerk.
· Kun je een voorbeeld geven van een interessante casus waaraan je hebt gewerkt (zonder vertrouwelijke details prijs te geven)?
Er zijn twee casussen die mij m’n leven zullen bijblijven.
De eerste is de zoektocht naar een vermist persoon. De politie kon niet veel doen omdat het een meerderjarig persoon betrof waarbij het er alle schijn van had dat deze vrijwillig weggegaan was. Hij wilde niet gevonden worden.
Hij had echter zijn laptop en smartphone thuis achtergelaten. Iets wat zijn familie erg vreemd vond voor iemand die vrijwillig vertrekt. Ik werd gevraagd of ik op zijn laptop en smartphone informatie kon vinden waar hij naar toe was gegaan.
Het was zoeken in e-mails, online shopping activiteiten, Sociale Media berichten enzovoorts. In de hoop iets te vinden waar hij zich kon bevinden. Ook kon ik niet uitsluiten dat het vertrek niet geheel vrijwillig was, dus ik zocht ook op contacten met de ‘verkeerden’ of andere redenen voor zijn (schijnbaar vrijwillige) vertrek.
Ondanks vele weken van zeer intensief onderzoek vond ik helaas geen concrete aanwijzingen, slechts enkele vermoedens. Het was een zware beslissing; ik moest stoppen vanwege te weinig aanknopingspunten. Het voelde als ‘opgeven’.
Enkele weken later werd ik gebeld door de particulier rechercheur (de opdrachtgever). De vermiste persoon was gevonden. Althans zijn lichaam was gevonden. Het was zijn eigen keuze.
Doordat ik zijn laptop, smartphone en zijn online prive-leven zeer intensief had onderzocht had ik het gevoel alsof ik hem persoonlijk kende.
Die casus denk ik vaak aan terug. Ik zal deze nooit vergeten.
Ook de casus Digitale Opsporing van een mensenhandelaar zal mij altijd bijblijven. Hij werd verdacht van het dwingen van kwetsbare vrouwen in de prostitutie. Als ze niet meewerkten werden ze geestelijk en lichamelijk mishandeld. Het geld dat de dames verdienden stak hij volledig in eigen zak, de slachtoffers moesten het doen met onderdak, eten en valse verblijfspapieren.
Na jaren van uitbuiting weet een van zijn slachtoffers te ontsnappen, durft niet naar de politie omdat ze geen geldige Nederlandse verblijfspapieren heeft. Een welzijnsorganisatie ontfermt zich over haar en geeft mij de opdracht deze mensenhandelaar op te sporen.
Van de vermeende dader was onder andere een (roep)naam bekend, een omschrijving van zijn uiterlijk en een omschrijving van een mogelijke locatie van de gevangenhouding.
Met de aanknopingspunten (die zeer gedetailleerd door het slachtoffer zijn omschreven) vond ik, na uren, dagen onderzoek, helemaal niets! Dat was opvallend. Met zoveel aanknopingspunten.
Daarop heb ik het onderzoek over een andere boeg gegooid: een online screening van het slachtoffer, wie is zij eigenlijk?
Toen bleek dat zij helemaal geen slachtoffer was, maar de dader! Zij werkte als een ‘Madame’ die kwetsbare vrouwen gedwongen in de prostitutie zette. Om iedereen op een dwaalspoor te zetten was haar ‘slachtoffer-rol’ een grote acteer-act.
Tunnelvisie. Al ben ik altijd waakzaam en probeer ik tunnelvisie koste wat het kost te vermijden. Maar ook mij was het overkomen.
“Slachtoffer bleek dader”. Klinkt bijna als een krantenkop.
· Hoe blijf je op de hoogte van de laatste ontwikkelingen in cybersecurity en cybercrime?
Ik kijk dagelijks op websites die zich focussen op nieuwsberichten in de digitale wereld, in de weekenden kijk ik naar TED-talks, lezingen over techniek op Youtube, en ik experimenteer veel met hardware. Het is mijn hobby, een liefhebberij. En dat moet ook wel: als je dit niet beschouwd als een hobby is het niet bij te houden.
Die 24 uur in een etmaal is echt veel te weinig.
· Wat doe je graag in je vrije tijd?
Experimenteren met hardware en software. Ik heb een zelf-gemaakte huis-robot waar ik weekenden graag verder aan sleutel. Zij (ja het is een zij, en ze heet Liza) houd het huis in de gaten en regelt alles wat in huis digitaal geregeld kan worden. Ze regelt de thermostaat, houd het vochtgehalte in de gaten, heeft een inbraakbeveiliging en rookmelder en doet s ’avonds als het donker wordt de verlichting aan en de gordijnen dicht. En nog veel meer. Het is een soort ‘smart-home’ maar dan op wielen. En ze begroet mij als ik na een dag werken thuis kom.
Ik experimenteer met verschillende technologieën om haar zo efficiënt mogelijk te laten werken: Met Arduinos, Raspberry PI’s, Bluetooth, Wifi, gecombineerd met mechanische techniek en gesoldeerde printplaatjes, gekoppeld aan zelf-gebouwde powerbanks.
Als ik niet achter een beeldscherm zit sta ik graag in de keuken. Ik kook graag lekker en uitgebreid. Met een muziekje op de achtergrond en een glas wijn binnen handbereik.
· Wat is je favoriete technologie-gadget en waarom?
De Raspberry Pi! Veruit mijn favoriete ‘gadget’. De mogelijkheden zijn bijna eindeloos. Dit is een klein computertje (past in je hand) die werkt op een powerbank, dus ‘draadloos’ is. Op het Wereld Wijde Web zijn vele toepassingen en handleidingen te vinden, dus het wordt nooit saai en je bent er nooit op uitgekeken.
· Heb je een leuke anekdote of grappige situatie meegemaakt op het werk?
Bij het NFO voeren wij ook zogenoemde IoC-onderzoeken uit. Oftewel de opdrachtgever heeft het vermoeden dat h/zij is gecompromitteerd, ‘gehackt’ dus. Of er is een vermoeden van heimelijke afluisterapparatuur. Bij dit type onderzoek vraag ik altijd wat de symptomen zijn. Waar is dat vermoeden op gebaseerd? Hier een greep uit de leukste antwoorden:
- “Ik krijg sinds kort vaak rare foutmeldingen op mijn laptop. En toen zag ik gisteravond dat er iemand met een hoodie voor mijn flat stond! Volgens mij staat hij er vaker en heeft ie mij gehackt.” Misschien zijn al die stockfoto's van hackers in hoodies niet zo vergezocht als ik dacht.
- “Mijn buren weten dingen over mij die ik ze nooit hebt verteld. Zouden ze mij hebben gehackt of afluisteren?” Terwijl ik de klant aan de telefoon heb zie ik een zeer actief Social Media account waarin zo ongeveer zijn hele priveleven staat. Oeps, had -ie even niet aan gedacht.
· Wat is je favoriete plek om te werken of je meest productieve werkomgeving?
Bij het NFO heb ik gelukkig iedere dag de vrijheid zelf te kiezen of ik op kantoor werk of vanaf huis. Vanaf huis ben ik veel productiever, maar op kantoor is het veel leuker. We hebben ongeveer dezelfde humor, brainstormen samen over een casus, lunchen vaak samen.
In het algemeen doe ik het liefst mijn onderzoeken op kantoor, ook omdat daar de benodigde apparatuur staat. Maar het schrijven van het uiteindelijke onderzoeksrapport, de rapportage dus, doe ik liever vanaf huis. Daar wordt ik minder gauw afgeleid.
Maar na het weekend heb ik altijd weer zin in om mijn collega’s op kantoor te zien. Leuke mensen.
· Welk advies zou je geven aan iemand die een carrière in jouw vakgebied overweegt?
Twee persoonseigenschappen zijn essentieel: interesse in digitale techniek en het hebben van een ‘speurdersneus’.
En de bereidheid veel vrije tijd te stoppen in het verder ontwikkelen van deze eigenschappen. Ga bij jezelf te rade of je dit echt wil. Het moet dus echt je hobby zijn.
Leer Linux. En ga ermee ‘tweaken’ en experimenteren. Zo leer je hoe een besturingssysteem ‘onder de motorkap’ werkt. Volg eens een of meerdere Webinars over dit onderwerp. Vele zijn gratis. Dan weet je of dit echt wat voor je is.
Meer geïnteresseerd in online onderzoeken? In digitale opsporing? Verdiep je dan in OSINT, SOCMINT, en Social Engineering. Je leert het zoeken in openbare bronnen en minder toegankelijke bronnen en andere manieren voor ‘het vinden van informatie die niet gevonden wil worden’.
En, ook belangrijk maar vaak onderschat, kies een specialisatie. Anders blijf je altijd een ‘middenmoot’.
· Wat is een misvatting die mensen vaak hebben over jouw werk?
" Digitaal Forensisch onderzoeker? Oh leuk! Ik heb elke aflevering van CSI gezien!”
Het uitvoeren van een (digitaal) forensisch onderzoek neemt veel tijd in beslag. Dit wordt vaak onderschat.
De resultaten van een onderzoek kunnen immers van invloed zijn op de uitspraak van een rechter.
Er mag dus geen enkel detail over het hoofd gezien worden, verschillende scenario’s moeten worden bekeken. Elk aanknopingspunt, hoe klein ook, moet verder onderzocht worden. En dat kost tijd. Soms heel veel tijd.
Een tweede misvatting die ik vaak hoor als ik vertel wat mijn werk is, is de opmerking: “ Jij werkt dus voor de politie?”
Nee dus. De politie doet ook veel, maar het komt ook voor dat zij dit soort onderzoeken uitbesteden. Bijvoorbeeld aan het NFO.
Daarnaast werken we ook veel voor particulieren, advocaten, rechtbanken, particulier rechercheurs, bedrijfsadviesbureaus en anderen die een (digitaal) forensisch onderzoek willen laten uitvoeren.
Het is die afwisseling wat mijn werk zo leuk maakt.
