Verschillen tussen data recovery en forensisch IT specialist

woensdag 14 maart 2018 door Tormod Nymoen

DST_image_970x300_hero-hard-drive-crash

Er zijn veel verschillen tussen de wereld van een data-recovery-bedrijf en die van forensische-IT-specialisten, maar ook veel overeenkomsten. Allebei zoeken ze naar gegevens die om verschillende redenen niet meer gelezen kunnen worden.

Het data-recovery-bedrijf en het recoveryproces

Een data-recovery-expert ontvangt van de klant een opslagmedium met het verzoek data te herstellen. In het geval van grotere RAID-systemen wordt er misschien via het internet op afstand gewerkt, of ter plekke bij de klant. De eerste stap is het doen van een evaluatie om te bepalen of een data recovery mogelijk is. Hierna kan worden gezegd of er bestanden zijn terug te halen en wat de kosten hiervoor zijn. Een gedetailleerd evaluatierapport geeft alle herstelbare bestanden weer met hun status.

Geeft de klant zijn goedkeuring voor een data recovery kunnen we beginnen. De manier van bestanden terughalen verschilt per oorzaak van het dataverlies en het soort opslagmedium. In geval van hardwareschade kan het beschadigde onderdeel vervangen worden en het opslagmedium weer gemaakt worden. Omdat data-recovery-bedrijven een grote voorraad controllers en lees-/schrijfkoppen hebben is dit vrij eenvoudig, en dankzij de goede relatie met fabrikanten vervalt een eventuele fabrieksgarantie niet.

SSD & HDD

SSD is echter een heel ander verhaal. Het vervangen van hardware is hierbij moeilijker omdat, zelfs als het gaat om hetzelfde serienummer, fabrikanten verschillende hardware kunnen gebruiken. Maar ook HDD's zijn problematisch omdat het openmaken ervan in een cleanroom moet gebeuren. Het minste of geringste stof kan krassen geven als het tussen de platter en de lees-/schrijfkop terechtkomt, en de gegevens op de plek van de krassen gaan dan verloren. Ter vergelijking: als de lees-/schrijfkop een vliegtuig zou zijn zou ie op één meter hoogte op volle snelheid vliegen, en een stofdeeltje zou dan de grootte hebben van een groot rotsblok.

Een data-recovery-specialist moet met een hoop programma's kunnen werken, waaronder zelfgemaakte tools. Dat is omdat er ook softwarefouten kunnen zijn, zoals corrupte metadata of verkeerde low-level informatie die nodig is voor de werking van de schijf. Een SSD met een controller die data versleutelt kan een probleem zijn als de sleutel verloren is, want dan is ook een data-recovery-bedrijf vaak niet in staat data te herstellen.

Forensische-IT heeft het moeilijker

In tegenstelling tot een forensische-IT-specialist heeft de data-recovery-specialist normaal de luxe van de volledige medewerking van de klant, die ook volledige toegang verleent tot zijn gegevens. In geval van een misdaad is dit natuurlijk niet zo. Soms moet er dan worden overgegaan tot hacker-praktijken om toegang tot het opslagmedium te krijgen. Naast dezelfde methoden van een data-recovery-bedrijf, dat immers niet geïnteresseerd is in de inhoud van de geredde data, moet een forensische ICT'er gestructureerd onderzoek doen naar bewijzen die in de rechtbank gebruikt kunnen worden om vast te stellen wat er op een IT-systeem gebeurd is, en wie er verantwoordelijk voor is. Een forensisch rapport kan bijvoorbeeld informatie over de identiteit van de schuldige bevatten, alsook de tijdsspanne en omvang van het misdrijf, en informatie over het motief en de uitvoering van de misdaad.

Hoe word je een forensische-IT-specialist?

Er is een toenemende vraag naar forensische-ICT-specialisten zowel in de overheidssector als in de particuliere sector. In veel Europese landen en daarbuiten zijn al veel universiteiten en hogescholen die opleiden in de forensische ICT d.m.v. cursussen of als onderdeel van een IT-opleiding. In Nederland biedt Hogeschool Leiden de specialisatie "Forensisch ICT" als onderdeel van hun informaticaopleiding. Ook is er de mbo-opleiding "Particulier digitaal onderzoeker", en zijn er vele digitale cursussen. Natuurlijk zijn er ook Engelstalige cursussen bij buitenlandse opleidingsinstituten. Wil je bij de politie aan de slag volgt daar ook een interne opleiding.

In rechtszaken moet een forensische ICT'er als een observator kunnen optreden, wat inhoudt dat het eigen werk duidelijk omschreven moet worden. Maar allereerst moeten de eigen veiligheidsmaatregelen gecheckt en zo nodig verbeterd worden.

De hedendaagse koplopers van de forensische ICT zijn veelal van carrière gewisseld. Van het jagen op hackers naar wederom het jagen op hackers, er lijkt geen ontkomen voor ze aan. Als een forensische-IT-specialist moet je buiten de box denken, creatief zijn en patronen ontdekken in onmetelijke hoeveelheden code. Niet voor niks hebben we een beveiligingsexpert horen zeggen: "We hebben kunstenaars nodig".

Bekijk ook: https://www.kldiscovery.com/nl

Load more comments


Nieuwe code