Bedrijven, overheden en ICT incidenten

Bedrijven, overheden en ICT incidenten Zoveel goede redenen voor het invoeren en respecteren van beleidslijnen en gedragscodes voor ICT-gebruik bij de overheid V-ICT-OR Mechelen, 25 juni 2010

© Luc Beirens - Federal Computer Crime Unit - Directie economische en financiële criminaliteit

Presentatie

 Luc Beirens Hoofdcommissaris Hoofd Federal Computer Crime Unit

Wat komen we hier doen ?  Met overzicht van reële ICT-misdrijven in diverse domeinen aantonen :  waar de afwezigheid van ICT beleid heeft geleid tot moeilijke situaties (privaat, arbeidrechterlijk én penaal)  waar de incidentafhandeling en samenwerking met politie verkeerd (of niet naar behoren) is gelopen

 Verduidelijken :  waar en hoe de politie bijstand kan leveren  hoe daar proactief aan kan worden gewerkt

ICT tendenzen vandaag  eSociety eGov => omschakeling van processen in reële wereld naar cyberspace (e-loketten) Steeds vaker industriële processen via netwerken  Alles over breedband IP-platformen : zowel (vertrouwelijke) data als telefonie  Grote mobiliteit van eindgebruiker en serveromgevingen (virtualisatie & cloud computing)  Complexiteit van netwerkomgevingen  Enorme opkomst van sociale netwerken  Maar nog vaak oude authenticatieprocessen => gebruikersnaam en paswoord  Vaak onwetende, nonchalante, roekloze eindgebruiker

Gevolgen ?  Zeer grote afhankelijkheid van ICT  Noodzaak  continuïteit in ICT werking  beschikbaarheid en correctheid van data

 ICT = kwetsbaarheid van maatschappij  Eindgebruiker = zwakste schakel  Noodzaak om  incidenten te onderkennen en af te handelen  Op wettelijke manier sporen te vrijwaren

Wat is er te beschermen ?  Gegevens (opgeslagen of in transmissie)  Onze eigen persoonlijke gegevens  Gegevens van burgers / klanten  Info over de organisatie (beleid/werking/fin)

 Ons informaticasysteem  Interne / externe systemen  Netwerkverbindingen  Opslag en backup-systemen

 Privacywet : organisatorische en technische maatregelen om persoonsgegevens te beveiligen

De incidenten Dreigingen van binnenuit

De incidenten van binnenuit  Ontslagen sysadmin uit koerierbedrijf Badge / hardcoded pw / WE bezoek  Harde werker in financiële instelling (gok-maffia) WE & nacht / testmodus / kritiek systeem  Dansende cursor in securitybedrijf belang info / onvoorzien incident  Onderzoek naar intern info-lek in openbaar bestuur keylogger / mailonderzoek => wie is hier crimineel ?  PC-park beheer van op afstand gemeentebestuur PC actief / „s nachts / afspraken met ICT firma  Bedrijfswebsite infecteert bezoekers outsourcing / QC ? / controle op “extra” functies ?

Samenvattende besluiten  Belangrijke momenten in een bedrijf

 aanwerving / vertrek van sleutelpersoneel  audit of testperiodes van systemen  nacht, WE en verlofperiodes

 Cruciaal : toezicht op (intern & extern) ICT-personeel met sysadmin bevoegdheid  Toezicht op én toegang tot kritieke resources: zowel HW, SW als “gebruikers”data  Gerechtvaardigd toezicht op poorten naar buitenwereld

Samenvattende besluiten  Respect voor privacy-, telecom- & strafwetgeving => geen kwaad met kwaad bestrijden  Verplichte doormelding van incidenten aan management / overheid  Correcte behandeling van mogelijk bewijsmateriaal

 Indien misdrijf – mogelijk externe gevolgen => strafrechtelijke & burgerlijke aansprakelijkheid

Of geven we het zelf weg ?  Onze afgeschreven PC‟s worden...  verkocht via tweedehands markt ?  geschonken aan een school ?  gedumpt in het containerpark ?

 Formateren verwijdert niet steeds data => wiping => magnetische schok => fysieke vernietiging van harddisks

De incidenten Dreigingen van buitenuit

Mijn e-organisatie Uitbestede website

Intern netwerk

Internet

Firewall

DMZ met webserver

Backup server of Cloud computing site

Cyber criminaliteit vandaag    

e-fraude => geef je geld aan crimineel spam => sys overload / start voor eFraude Defacing => website aangevallen hacking =>  geldtransfers vanaf gehackt systeem  spionnage => welke info hebben jullie ?  gebruik van gehackt system => storage / spam / proxy / DNS / CC / DDOS

 DDOS distributed denial of service attacks

Defacing  Vervanging homepage  Politieke boodschappen  Afhankelijk van wereldgebeurtenissen

   

Imagoschade / verstoorde werking e-loket Zeer frequent en vaak weerkerend Gebrek aan patches van webserver Slechte beveiliging ftp upload

Beeldt u even in...

Hacking ? Toch niet mijn PC / onze server?  Waarom zouden ze mijn PC hacken ?     

24/24 online breedband grote opslagcapaciteit slecht beveiligd (?) draadloos (?)

Misbruik van Internetconnectie

Toegang tot netwerkapparaten

Interceptie Netwerkverkeer

Webserver

Server Crashed Hacker

Toegang geblokkeerd

Info Cmd

My IP is x.y.z.z

IRC Server

Botnet aanval op een webserver

Belangrijke DDOS aanvallen UK 2004 : gambling website down (+ hoster + ISP) NL 2005 : 2 botnets : millions of zombies BE 2005 : DDOS on chatnetwork of Media firms BE 2005 : DDOS on Firm during social conflict US 2006 : Blue security firm stops activity after days of DDOS attacks  SE 2006 : Website Gov and Police down due to DDOS after police raid on P2P  EE 2007 : Widespread DDOS attack on Estonia after incidents on moving soldier statue  Georgia 2008 : Cyber war during military conflict     

 Botnets met miljoenen zombies 40 Gbps aanvalsvolume

Infecties van eindgebruikers  Bronnen & verspreidingsmechanismen    

E-mail / peer2peer / website downloads Sociale netwerken : bericht van een contact Automultiplicatie => 1 in LAN=> alle in LAN Via usb / cdrom / externe HD

 Voorkomen ?  Goede AV op internetpoort én op PC  Bewuste en opgevoede eindegebruiker

Webserver / node

Hacker

Knowledge server

Internet trigger event MW update Very frequent MW update request Malware update server

Command & Control Server

Malware update / knowledge transfer

Veel servers die hackers ?      

Ja ! De uwe... Infectie sysadmin of webmaster PC Onderschepping userid + pw ftp Installatie van botnetserver op uw server In verborgen directories CC of malware distributie

Preserve evidence

Webserver / node

Report incident Stop activity Bring to court Hacker

Internet Take out of order Analyse to identify hacker & zombies

Identify critical infrastructure Alarm procedures Preserve evidence Prevent infection & MW autopropagation

Detect infections & desinfect Botnetservers CC, Knowledge, MW

Actions against botnet architecture

Beter voorkomen ...

Preventieve tips 

Stel algemene ICT gebruiksrichtlijn op 



Stel ICT veiligheidsverantwoordelijke aan 



ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid

bewustmaking & controle van de toepassing

Bereid ICT-incidentendossier voor met :     

plan van architectuur / toepassingen / databanken / interconnecties Namen + tel / GSM van verantwoordelijke per systeem / DB/ toep Namen + tel / GSM van leveranciers HW / SW / Maintenance / BU Tel Cert.be Tel + permanentienummer FCCU

Preventieve tips 

Wees duidelijk in outsourcing van maintenance 





rapportering van alle interventies op afstand

Scherm bedrijfskritische systemen/ toepassingen / data af van op Internet aangesloten netwerken ! Installeer recente Anti-virus ; Firewall en actualiseer



Synchroniseer de systeemklok regelmatig Activeer en controleer loggings IN en OUT Voer audits uit op loggings



Maak en test backups en bewaar ze veilig !





Hoe ICT-fraude ontdekken ?  Het gevaar van buitenaf : een portier  Activatie en nazicht logfiles (sporen van activiteit)  Firewall, proxy-servers,  Toezicht op gebruik bandbreedte / stockagecapaciteit

 Het gevaar van binnenin : de nachtwaker

 Toezicht op gebruikersgedrag (Volume, tijdstip, connectiepunt, simultane aansluiting)  Vergelijken van gebruikersprofielen (bvb met “normaal”)  Aandacht voor “kwetsbare” momenten in ICT systeem (testfases, conversiemomenten, …)  Audits ICT-ontwikkeling & werking ICT systeem

Waar zijn sporen in het ICT systeem ?  Op de PC van de « verdachte »    

Opgeslagen (gewiste) gebruikersbestanden Tijdelijke bestanden (werkbestanden toepassingen) Loggingbestanden van toepassingen Bestanden Internet activiteit (surf, mail, news,…)

 Binnen het bedrijfsnetwerk  Gebruikerslijst / toegangsrechten  Logfiles (aansluiting op netwerk, internetgebruik)

 Andere partijen  Telefoonmaatschappij (oproep naar Internet toegangs P)  Internet toegangs P (Internetsessies : dynamisch adres)  Internet diensten P (sporen gebruikte Internetdiensten)

Soms genezen ...

Vermoeden van fraude - en nu ?  Wettelijk werken – respect wetten & CAO 81  Finaliteit (misdrijven, econ & fin belang, ICT veiligheid, gebruikersregels)  Proprotionaliteit (minimale inbreuk op privacy, in fases)  Transparantie (op basis van duidelijke policy)

 Diagnose stellen / oorzaak & sporen vinden

 Bewijsmateriaal integer bewaren  Integraal, ongewijzigd met garantie

 Noodzaak om specialisten in te schakelen  Zeker van klacht => politie  Zo niet => Cert.be / forensisch ICT auditor

Toch slachtoffer van ICT crime 

Bij ontvangst dreigingen  



reageer snel … maar niet naar afperser bewaar berichten in originele (digitale vorm) => contact FCCU

Bij effectieve incidenten :  

   

Verbreek verbinding (indien niet door aanvaller veroorzaakt) Log maximaal info inzake laatste ICT activiteit en exact tijdstip Vermijd actie op het systeem (sporen aanvaller niet bezoedelen) beveilig fysiek het systeem beperk de interne communicatie tot het strikt noodzakelijke Leg klacht neer bij politie of parket …

Toch slachtoffer van ICT crime 

Voor incidentafhandeling  Bereken schade : direct en indirecte 

Evalueer : schade belangrijker dan herstarten ?  Herstarten belangrijk  





Plaats reserve systeem online Of minimaal : maak full backup vóór herinstallatie

Schade belangrijker : laat situatie onaangeroerd

Bij heropstarten  

Wijzig alle paswoorden en liefst ook gebruikersnamen Pas opnieuw verbinden indien alle oorzaken verholpen

Nieuw : Cert.be  www.cert.be  Computer emergency response team  Overheidsdienst maar geen politie

 Hulp bij incidenten  Diagnose en advies  Beeldvorming  Doorverwijzing naar FCCU indien nodig

ICT-crime (hacking/sabotage/spionage) : Waar een klacht neerleggen ?  Bij een politiedienst …

 Lokale Politie => niet gespecialiseerd => niet aangewezen voor ICT crime => wel aanspreekpunt voor alle vormen van fraudes over internet  Federale Gerechtelijke Politie van het Arrondissement (FGP) => beter maar … regionale CCU => the right place to be  Federal Computer Crime Unit => 24/7 contact => Bellen indien aanvallen op vitale / kritieke ICT systemen

 … of onmiddellijk bij een magistraat ?

 Procureur des Konings => zal toch opdracht naar politie zenden => kan beslissen om niet te vervolgen  Onderzoeksrechter => klacht met burgerlijke partijstelling => verplichting om de zaak te onderzoeken

E-Politie organisatie en taken Politie Federale Politie Nationaal niveau 34 personen

1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact Beleid Training Materiaal

Internet & efraude creditcard fraud internetfraude www.ecops.be meldpunt

Federale Politie Regionaal niveau 145 personen

Bijstand forensisch Intelligence ICT onderzoek centrale diensten en regionale CCU‟s Strijd ICT crime Telecomfraude

25 Regionale Computer Crime Units (1 – 3 Arrondissementen) Bijstand voor huiszoekingen, forensic ICT analyse, verhoor, internet opsporingen

Onderzoek ICT crime dossiers (evt bijgestaan door FCCU)

Lokaal niveau

Eerste lijnspolitie

Federale Politie LokalePolitie

“Bevriezing” van de situatie tot aankomst RCCU of FCCU Selectie en bewaring van digitale gegevensdragers

Ons dienstenaanbod  Nemen uw klacht op  Afstapping op de plaats van het misdrijf  Vormen een beeld van het slachtoffer systeem  (Image) kopie van systeem (indien mogelijk)  Analyse van logfiles

    

Internet opsporingen (Identificatie, lokalisatie) Huiszoekingen Verhoor van betrokken partijen Forensische analyse van IBN ICT apparatuur Opstellen van een « begrijpbaar » rapport

Medewerking met politie en justitie  ICT-infrastruktuur = complex (Wet informaticacrim)  Wettelijke voorziening tot medewerking  informatie verstrekken (architectuur, encryptie, werking,...)  handelingen stellen om toegang te krijgen  decrypteren

 Wettelijke mogelijkheid tot netwerkzoeking

 Weigering medewerking is strafbaar  Gebonden aan beroepsgeheim !

Waarom zeker gedragscode ?  Art 550 bis Strafwetboek voorziet in  externe hacking  interne hacking

 Interne hacking slechts strafbaar indien :  met bedriegelijk opziet  door bevoegdheidsoverschrijding

 Welke bevoegdheidsoverschrijding indien nergens bepaald wat moet / mag / niet mag ?

Vragen ? FCCU invalspunt ICT-crime  Federal Computer Crime Unit

 Directie bestrijding economische en financiële criminaliteit

 Notelaarstraat 211  1000 Brussel

 Kantooruren  Fax

02 743 74 74 02 743 74 19

 [email protected]  [email protected]

Diensthoofd Hoofd Sectie Operaties

 Doorverwijzing naar RCCU / onmiddellijke bijstand