“You shall know the truth – and the truth shall set you free”.
Deze zin staat gebeiteld boven de hoofdingang van het originele CIA-gebouw in Virginia. Een zin die zou zijn uitgesproken geweest door JC himself (Jezus Christus weet je wel)
We zouden kunnen de filosofische toer opgaan en ons afvragen wat dat is : “waarheid”. Kunnen we de “waarheid” ooit echt volledig vatten? Als geschiedkundige ondervond ik aan den lijve hoe moeilijk het was om gebeurtenissen te reconstrueren op basis van vaak onbetrouwbare en subjectieve getuigenissen. Hier een stoffig boek uit 1623, mijnheer Verhulst, veel succes met uw thesis.Het is een ongelooflijk fascinerend gegeven en al zeker in deze tijden – waarin onze media andere belangen lijken te behartigen dan het achterhalen van pure feiten. Waar feiten verdraaid worden of verzwegen – waar de klik op de link en de reclame-inkomsten belangrijker zijn geworden dan het weergeven wat er echt gebeurd is. Waar iedereen via sociale media “zijn eigen waarheid” kan verkondigen.
En dat vind ik nu zo fascinerend. Ik geloof erin dat de enige echte waarheid bestaat. Het antwoord op de meest prangende vragen is er.
Is er leven na de dood, is er op dit ogenblik buitenaards leven op aarde, wie vermoordde JFK, … het enige echte antwoord bestaat. Het is een Ja, een Nee, of een naam. Maar toch hebben deze drie onderwerpen samen honderdduizenden boeken geïnspireerd. Boeken vol speculatie, maar weinig echte antwoorden.
Vandaar ook mijn fascinatie met de wetenschap, met astronomie en fysica, allemaal vakgebieden met miljoenen mensen op zoek naar waarheid.
Zo ook in (digitaal) sporenonderzoek – daar zit je in de bevoorrechte positie dat de gebeurtenissen meestal vrij recent zijn. En toch is het zo ontzettend moeilijk om een reconstructie te maken van wat er zich precies heeft afgespeeld.
Je hebt altijd 2 componenten om een bepaalde gebeurtenis te verklaren : de mechanische en de psychologische.
Neem het voorbeeld van een auto-ongeval : twee voertuigen knallen tegen elkaar in het midden van een druk kruispunt. Als we het ongeval pogen te reconstrueren kijken we eerst naar de mechanische component- waarin we de waarheid wiskundig kunnen reconstrueren.
Beide auto’s reden een bepaalde snelheid, raakten elkaar in een bepaalde hoek en de verkeerslichten waren ofwel rood,groen, oranje of defect.
De mechanische component zegt ons HOE iets is gebeurd. En misschien ook WAAROM (stel dat het licht defect is)
Dan is er de psychologische component – wat ging er om in het brein van de twee betrokken partijen. Was de bestuurder afgeleid of gehaast? Deze component proberen vatten is bijzonder moeilijk. Er zijn studies gedaan naar de betrouwbaarheid van ooggetuigen bij verkeersongevallen en het blijkt dat het geheugen van mensen bijzonder onbetrouwbaar blijkt. Tien mensen die net getuige waren van hetzelfde ongeval vertellen tien verschillende verhalen waarbij zelfs elementaire zaken zoals de kleur van de wagens sterk uiteenlopen.
Terug naar het digitale sporenonderzoek – we kunnen inderdaad mechanisch en objectief bepaalde “artefacten” zoals dat heet terugvinden. Maar wat gaat er op dat moment om in het brein van de gebruiker? Dat is mijns inziens even belangrijk om de mechanische artefacten te kunnen kaderen.
En dat is ook waarom ze zeggen dat ‘digital forensics’- ons vak- zowel een wetenschap als een kunst is. Ervaren onderzoekers zullen dat allemaal beamen , maar als je een paar honderd dossiers achter de kiezen hebt dan ontwikkel je een soort intuïtie.
Nu, dat klinkt verre van wetenschappelijk, maar het is alsof je kan beginnen in het brein te kijken van de persoon wiens laptop of PC wordt onderzocht. Je ziet iets, en je weet plots waar je moet zoeken.
Ik was onlangs naar een logbestand aan het kijken en het viel mij op dat er zo WEINIG logs waren in vergelijking met de honderden andere keren dat ik zo’n log opendeed. Ik deed andere logs open en daar weer hetzelfde. Nochtans op een computer die al lang in gebruik was. Als je dan dieper graaft kwam ik er op uit dat de gebruiker binnen Windows een zoekactie had gedaan naar “*.log” en dat hij manueel bezwarend materiaal uit die bestanden heeft gehaald. Heel subtiel.
Ik vond dan een “Volume Shadow Copy” (kortgezegd een soort backup van het systeem dat Windows in de achtergrond klaarzet) terug van net voor de manipulaties, deed dan een crosscheck tussen alle logs voor en na de backup en ik had exact die lijnen die die persoon had verwijderd.
Een onervaren onderzoeker of iemand die een standaard-tool gebruikt ziet dit gewoon niet.
Enkel iemand die al naar honderden computers heeft gekeken zou dit mogelijk kunnen zien.
Om maar te zeggen dat de waarheid ook in ons vak bijzonder moeilijk te reconstrueren is- zelfs al zijn de sporen nog vers. En nog moeilijker om ze te communiceren in een rapport. Daarover meer in deel 2.
Onze cyberexperten helpen de top van de bedrijfswereld om inbreuken te bewijzen, incidenten op te lossen en datadiefstal te voorkomen. Vertrouw op BlackLynx. Want in de strijd tegen cybermisdaad wilt u een gespecialiseerd team aan uw zijde.
Vlasgaardstraat 52
9000 Gent
We may request cookies to be set on your device. We use cookies to let us know when you visit our websites, how you interact with us, to enrich your user experience, and to customize your relationship with our website.
Click on the different category headings to find out more. You can also change some of your preferences. Note that blocking some types of cookies may impact your experience on our websites and the services we are able to offer.
These cookies are strictly necessary to provide you with services available through our website and to use some of its features.
Because these cookies are strictly necessary to deliver the website, refuseing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.
We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.
We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.
These cookies collect information that is used either in aggregate form to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website and application for you in order to enhance your experience.
If you do not want that we track your visit to our site you can disable tracking in your browser here:
We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.
Google Webfont Settings:
Google Map Settings:
Google reCaptcha Settings:
Vimeo and Youtube video embeds:
The following cookies are also needed - You can choose if you want to allow them:
You can read about our cookies and privacy settings in detail on our Privacy Policy Page.
Privacy policy
Leave a Reply
Want to join the discussion?Feel free to contribute!