Bram van Zeist IT Advisory IT Security Services NGI Sittard, 25 September, 2007

IT ADVISORY

Cybercrime

Feico Giesing / Bram van Zeist IT Advisory IT Security Services NGI Sittard, 25 September, 2007

Agenda z Introductie z Cybercrime? z Ontwikkelingen z Fictie of werkelijkheid z Hoe te beperken z Discussie en vragen

1

Introductie Feico Giesing is manager bij KPMG IT Advisory (sinds 1999), bij de service line IT Security Services.

Bram van Zeist is adviseur bij KPMG IT Advisory (sinds 2005), bij de Service line IT Security Services. IT Security Services richt zich op de beveiliging en beheersing van IT-infrastructuren. Dit betreft onder andere ethical hacking, social engineering, advies- en beoordelingsdiensten. 2

Cybercrime? (1/2) “Activity in which computers or networks are a tool, a target, or a place of criminal activity.” Source: http://en.wikipedia.org/wiki/Cybercrime

Categorieen: • Misbruik van IT componenten / informatie • Diefstal van IT componenten / informatie • Ongeautoriseerde transacties • Identiteits diefstal IT componenten: netwerk, router, firewalls, server(s), PC(s)..

3

Cybercrime? (2/2) Extern: • Ex-werknemers • kwaadwillenden • georganiseerde misdaad • ………… Intern • werknemers • tijdelijke inhuur • bezoekers

4

Ontwikkelingen (1/4) NICC (Nationaal Infrastructuur ter bestrijding van CyberCriminaliteit) Vanuit de Europese unie zijn lidstaten gewaarschuwd voor een toename van Cybercriminaliteit. Groeiende betrokkenheid van georganiseerde misdaad. Schade neemt toe www.nu.nl/news/1238435/53/Werknemers_grootste_beveiligingslek.html

Computercriminaliteit vooral steeds professioneler www.automatiseringgids.nl

Spyware-bende bemachtigt Thawte certificaat Hackers investeren in exploit-leasing Vier jaar cel wegens infecteren miljoenen PC's www.security.nl

5

Ontwikkelingen (2/4)

6

Ontwikkelingen (3/4) CSI Computer Crime and Security onderzoek 2007, the key findings: • The average annual loss reported in this year’s survey shot up to $350,424 from $168,000 the previous year. Not since the 2004 report have average losses been this high. • Almost one-fifth (18 percent) of those respondents who suffered one or more kinds of security incident further said they’d suffered a “targeted attack,” defined as a malware attack aimed exclusively at their organization or at organizations within a small subset of the general population. • Financial fraud overtook virus attacks as the source of the greatest financial losses. Virus losses, which had been the leading cause of loss for seven straight years, fell to second place. If separate categories concerned with the loss of customer and proprietary data are lumped together, however, then that combined category would be the second-worst cause of financial loss. Another significant cause of loss was system penetration by outsiders.

7

Ontwikkelingen (4/4) • Insider abuse of network access or e-mail (such as trafficking in pornography or pirated software) edged out virus incidents as the most prevalent security problem, with 59 and 52 percent of respondents reporting each respectively. • When asked generally whether they’d suffered a security incident, 46 percent of respondents said yes, down from 53 percent last year and 56 percent the year before. • The percentage of organizations reporting computer intrusions to law enforcement continued upward after reversing a multi-year decline over the past two years, standing now at 29 percent as compared to 25 percent in last year’s report.

8

Fictie of werkelijkheid (cases 1) Apparaten die we vertrouwen… Welke kleur heeft uw muis? A) Zwart B) Blauw C) Ik weet het niet precies

9

Fictie of werkelijkheid (cases 1) Apparaten die we vertrouwen … Zou u het merken wanneer uw muis iets zwaarder wordt? A) Ja B) Nee C) Ik denk van wel

10

Fictie of werkelijkheid (cases 1)

Hoe werkt de Evil Mouse • Gebruik de auto play functionality • USB Boot • Gebruik van logica om toetsaanslagen te injecteren

11

Fictie of werkelijkheid (cases 1) Apparaten die we vertrouwen…

n

n a a

b

lig i e v e

g n i

e Human Interaction Devices (HID) k n e - Muis & Toetsenbord d t e - Tablet i n k - Printer & Scanner a a v - Voice control e w Overige apparaten: j i b r - Digitale camera a - MP3 spelers wa n - PDA te

–

p p A

a r a

12

Fictie of werkelijkheid (cases 2) E-mail berichten, welk bericht kan niet worden vertrouwd? A) [email protected] B) [email protected] C) [email protected] D) [email protected]

13

Fictie of werkelijkheid (cases 2) In de mail wordt aan klanten van diverse organisaties gevraagd om op een link te klikken en …. 1. Vervolgens werd een trojan op hun computer geïnstalleerd. 2. klant gaat naar een fake internet bank, deze fake omgeving communiceert met de echte internet bank. Echter, rekeningnummers en bedragen worden aangepast. 3. Etc… 14

Fictie of werkelijkheid (cases 3) • Tijdens een consolidatie project in een datacenter wordt ontdekt dat een systeem met de codes voor internationale betalingen is verdwenen.

•Tevens blijkt dat toetsenborden zijn voorzien van geavanceerde toetsenbord loggers. •……..

15

Fictie of werkelijkheid (cases 3) •Meerdere systemen zijn gedurende een onbekende periode gecompromitteerd. •De systemen stonden in een fysiek beveiligd datacenter. • Eigen medewerker?

16

Fictie of werkelijkheid (cases 3) Hoe… Ongeautoriseerde toegang tot een “proximity card systeem”

17

Fictie of werkelijkheid (casus 4) Second Life • Opgericht door Linden Labs (opgericht in 1999 by Philip Rosedale) •Een 3D omgeving waar gebruikers zelf de omgeving kunnen creëren. •Creëer huizen, kleding, gadgets, auto’s en schrijf scripts •Bedrijven, landeigenaren, kleding ontwerpers, Casino’s en zelfs de promotie van echte bedrijven: SUN, Microsoft, Dell, Toyota, IBM, ABN AMRO etc.

18

Fictie of werkelijkheid (casus 4) Second Life (scripting)

19

Fictie of werkelijkheid (casus 4)

20

Fictie of werkelijkheid (cases 5) • Malware in internet browser • Direct na het inloggen op Mijn Postbank.nl • U wordt gevraagd om 1 of meerdere Tan-codes in te voeren…..

21

Fictie of werkelijkheid (cases 6) Server / netwerk wordt misbruikt voor het verspreiden van illegale software en DVD’s.. ……..

C:\ +---BATCH +---HP | +---DRIVERS | | +---IDE | | | \---NT | | +---NETRAID | | +---NIC | | | \---D5013 | | | \---NT | | | \---temp | | | +---@00--------------------============DISTRO==========-| | | +---@01 GAMEZ | | | | +---04.12.02.THE.ITALIAN.JOB-DEViANCE | | | | \--Star.Wars.Jedi.Knight.II.Jedi.Outcast.Patch.zur.Dezensierung.GERMANSouldrinker | | | | \---[RDZ] - ( 0M 1F - COMPLETE ) - [RDZ]

22

Fictie of werkelijkheid (cases 6) | | | +---@02 MOVIEZ | | | | +---Black.Hawk.Down.German.Line.Dubbed.DVDSCREENER.DiVX-GMC | | | | | +---CD1 | | | | | +---CD2 | | | | | \---SAMPLE | | | | +--Im.Zeichen.der.Libelle.Line.Dubbed.German.VCD-ACP | | | | | +---CD1 | | | | | +---CD2 | | | | | \---Sample | | | | +---Panic.Room.Line.Dubbed.German.VCD-NMG | | | | | +---CD1 | | | | | +---CD2 | | | | | \---Sample | | | | +---Showtime.Line.Dubbed.German.VCD-NMG | | | | | +---CD1 | | | | | \---CD2 | | | | \---Tattoo.TS.German.VCD-ACP | | | | +---CD1 | | | | +---CD2 | | | | \---Sample | | | +---@03 | | | | +--dobe.Illustrator.Interface.Improver.v2.0.WinALL.Cracked-VARiANCE | | | | | \---AudioEdit.Deluxe.v1.1-JUSTiC | | | | +--Adobe.ImageReady.Interface.Improver.v2.0.WinALL.Cracked-VARiANCE

23

Fictie of werkelijkheid (cases 6) | | | | +--BlindWrite.Suite.v1.2.4.0.International.WinALL-EAGLE | | | | +---Cakewalk.Express.8.WinALL-PRD | | | | +---Cakewalk_SONAR_v1.31_UPDATE-PARADOX | | | | +---CD.Mate.v2.1.0.30.WinALL-EAGLE | | | | +---CoffeeCup Firestarter 4.1 | | | | +---Connectix.Virtual.PC.v4.2.WiN32-oDDiTy | | | | +---FlexiMusic_Producer_v4.6.0.1-PARADOX | | | | +---FlexiMusic_Wave_Editor_v4.6.0.1-PARADOX | | | | +---FMJSoft_Awave_Studio_v8.0-PARADOX | | | | +---GVOX_MUSICTIME_DELUXE_v3.5-PARADOX | | | | +---HyperSnap-DX4.v4.31.01.WinAll-ECN | | | | +---LAPSAudio.Direct.MP3.Recorder.v1.2.WinAllREFORM | | | | +--LAPSAudio.Mp3.Recorder.v1.3b.WinAll.Cracked-DiSTiNCT | | | | +--Macromedia.Dreamweaver.Interface.Improver.v2.0.WinALL.Cracked-VARiANCE | | | | +--Macromedia.Fireworks.Interface.Improver.v2.0.WinALL.Cracked-VARiANCE | | | | +--Macromedia.Flash.Interface.Improver.v2.0.WinALL.Cracked-VARiANCE | | | | +---MACROMEDIA.FLASH.MX.V6.0-CROSSFiRE | | | | | \---[ISD] - ( 45M 17F - COMPLETE ) - [ISD] | | | | +---MACROMEDIA.FLASH.MX.V6.KEYGEN.ONLY-SiNERGY | | | | +---Maxon.Cinema.4d.XL.R7-Oddity | | | | +---MixMeister.v3.1.WinALL.Incl.Keygenerator 24

Hoe te beperken (bedrijven) Maatregelen op verschillende niveau’s • beleid en richtlijnen • heldere taken en verantwoordelijkheden • bewustzijn creëren • hoe te handelen als een incident wordt ontdekt • toezicht / audit? Aandachtpunt: integer handelen van de factor mens is essentieel.

25

26

References http://www.kpmg.nl/fraude http://www.kpmg.nl/informatiebeveiliging http://www.govcert.nl http://www.meldpuntcybercrime.nl http://www.samentegencybercrime.nl http://www.politie.nl/KLPD/PolitieABC/Criminaliteit/comp utercriminaliteit.asp http://www.cybercrime.gov

27

Contact gegevens Feico Giesing [email protected] 020 656 8395 Bram van Zeist [email protected] 020 656 8376 www.kpmg.nl/ita

28