Digitaal forensisch onderzoek en digitaal archiveren: Sherlock Holmes achterna

Wat hebben misdaadbestrijding, spionage en digitaal archiveren met elkaar gemeen? Heel veel volgens de Council on Library and Information Resources (CLIR). Het verband tussen deze onderwerpen is digitaal forensisch onderzoek, een discipline die zich ontwikkelde bij politiediensten, computerbeveiligingsfirma’s, inlichtingendiensten, enz. De procedures en technieken van het digitaal forensisch onderzoek zijn gericht op het vinden en bewaren van digitale gegevens op een manier die de authenticiteit en integriteit van de gegevens garandeert. Dit is ook voor de erfgoedsector interessant. Het CLIR publiceerde er onlangs een rapport over. In dit blogbericht vindt u een beknopte bespreking van deze nieuwe wegen en enkele nieuwe problemen die de introductie van digitaal forensisch onderzoek in de erfgoedsector met zich meebrengt.

Digitaal forensisch onderzoek
Digitaal forensisch onderzoek (digital forensics) heeft als doel het vinden, het vaststellen van de authenticiteit en de analyse van digitale gegevens om de gegevens als bewijsmateriaal te kunnen gebruiken in een rechtszaak. Met digitaal erfgoed naar een rechtbank stappen, is niet onmiddellijk wat erfgoedinstellingen in gedachten hebben. In staat zijn gegevens te recupereren, te weten of ze authentiek zijn en de gegevens kunnen begrijpen, is wel interessant.

Stel: een politicus, kunstenaar of wetenschapper wil zijn persoonlijk archief overdragen aan een archiefdienst. Dit archief bevat een laptop, cd’s, USB-sticks, diskettes, een e-book reader en een smartphone. Hoe haal ik de gegevens uit al deze dragers? Heb ik alles? Wat heb ik? Dit zijn vragen waarop digitaal forensisch onderzoek een antwoord kan bieden. 

Technische mogelijkheden
Het verzamelen van bijvoorbeeld iemands persoonlijk digitaal archief wordt alsmaar complexer. Dit archief bevindt zich niet alleen op de computers en andere gegevensdragers van die persoon, maar ook op gsm’s, iPod’s en op internet. Wie zit vandaag niet op Facebook, LinkedIn of Twitter? Of wat met videofragmenten die de archiefvormer op YouTube publiceerde en nergens anders heeft bewaard? Dan zijn er nog de gegevens in The Cloud zoals Dropbox en Googledocs. Ook deze gegevens maken deel uit van het archief en bevatten belangrijke contextgegevens over  een persoon. Digitaal forensisch onderzoek richt zicht op het recupereren van al deze gegevens. 

Het forensic workstation is een voorbeeld van de werktuigen die ontwikkeld werden. Het gaat om laptops die overweg kunnen met zowel oude als nieuwe gegevensdragers en zowel oude als nieuwe software en bestandsformaten. Dergelijke computers worden ook 'Rosetta-computers' genoemd.

Digitaal archief vernietigen
Een steeds terugkerende kreet in de digitale archiveringswereld is hoe kwetsbaar digitale objecten wel zijn. Men implementeert ingewikkelde procedures en bouwt dure e-depots om hieraan te verhelpen. Digitale objecten zijn inderdaad zeer kwetsbaar, zo stelt het rapport … tot u probeert ze te vernietigen. Wissen en formatteren kunnen ongedaan gemaakt. Zelfs gegevens op beschadigde dragers kunnen gerecupereerd worden, al was het maar gedeeltelijk. 

Het grootste deel van het door een organisatie gevormde archief komt voor vernietiging in aanmerking. Vernietiging betekent dat de gegevens definitief, onherroepelijk weg moeten zijn. Dat is gemakkelijker gezegd dan gedaan, zo leert het forensisch onderzoek ons. Wanneer digitaal archief niet op een correcte manier vernietigd werd, kan dit tot zeer onaangename situaties leiden. 'Vernietigd' digitaal archief met privacygevoelige informatie kan bijvoorbeeld hersteld worden en in de verkeerde handen terechtkomen.

Ethiek
Forensische tools laten toe verwijderde bestanden te herstellen, gebruikersnamen en paswoorden te achterhalen, de (gewiste) zoekgeschiedenis te voorschijn te toveren enz. Voor toekomstige historici zijn deze gegevens ongetwijfeld zeer interessant. De persoon die zijn archief overdroeg, vindt dit misschien minder leuk. Feit is dat men uit de gegevensdragers meer, vaak private, informatie kan halen dan de overdrager beseft. Vanuit een ethisch perspectief is het nodig duidelijke afspraken te maken met de archiefvormer over hoe diep men mag graven bij het bestuderen van een overgedragen digitaal archief.

Dit brengt ons bij een tweede ethische kwestie. Stel: er is een overeenkomst met de archiefvormer over hoe diep we mogen graven. Vervolgens wordt de archiefdienst geconfronteerd met een vraag op basis van het Decreet Openbaarheid van Bestuur of een eis van een rechtbank om bepaalde gegevens aan te leveren. Hoe moet een dienst hiermee omspringen?

Dit zijn slechts een paar voorbeelden uit een veel grotere ethische problematiek die zich stelt door de (onvermijdelijke?) introductie van digitaal forensisch onderzoek in de erfgoedsector. Het CLIB-rapport wijdt er een heel hoofdstuk aan. 

'Nog meer werk!'
Ongetwijfeld maken sommige lezers deze bedenking tijdens het lezen van deze blog. Hoe interessant het ook moge zijn, een forensische aanpak invoeren in een erfgoedorganisatie vereist gespecialiseerde kennis, speciale software, personeel, budget … Voor hoeveel erfgoedorganisaties is dit haalbaar?

Het rapport geeft hier twee antwoorden op:

  1. Het gaat niet zozeer om technologie als wel om aanpak. De werkwijze van forensisch onderzoek kan een goede inspiratiebron zijn voor het verbeteren van archiveringsprocedures. Hierbij kan men gebruikmaken van gratis opensourcesoftware (zie lager). 'Technology is expensive, but methodology is free.”
  2. De mogelijkheden van digitaal forensisch onderzoek ten volle benutten blijft specialistenwerk. Het rapport spreekt zelfs van “a small and elite band of e-paleographers”. Grotere organisaties zouden een dergelijk labo kunnen oprichten dat vervolgens ook openstaat voor kleinere organisaties. Een taak voor expertisecentra? Universiteitsbibliotheken en –archieven? VIAA? Het Rijksarchief?

Meer informatie

Hieronder enkele sites over digitaal forensisch onderzoek.  

Software
Aangezien digitaal forensisch onderzoek zijn oorsprong vindt bij de politie, het leger e.d. zou u misschien verwachten dat men dergelijke software in het grootste geheim ontwikkelt en achter slot en grendel bewaart. Niets is minder waar. Er zijn gespecialiseerde firma’s die deze software ontwikkelen en op de markt aanbieden. En er is opensourcesoftware: 

Het rapport bevat besprekingen van veel meer software, ook gesloten software.

Tot slot wil ik nog even vermelden dat dit rapport een absolute aanrader is voor iedereen die werkt rond of interesse heeft voor digitaal archiveren. In deze zeer verfrissende tekst ontmoeten we zowel nieuwe ideeën als een overzicht van de bestaande praktijken en aandachtspunten op vlak van digitaal archiveren. Om uw interesse nog wat meer aan te wakkeren, sluit ik af met dit citaat:

Forensic methodologies will help archivists simplify the initial stages of capture, preservation metadata, and storage so that they can capture data from digital media sooner rather than later, and consequently be able to devote more time to the later, more complex activities associated with long-term preservation.”

Jeroen Poppe