Forensisch IT Onderzoek Authenticatie
Forensisch IT onderzoek?
Forensisch IT onderzoek!
Forensisch IT Onderzoek
Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen
Fox-IT Opgericht maart 1999 Oprichters afkomstig van Nederlands Forensisch Instituut te Rijswijk (NFI)
5 Business Units Forensics & Audits – Onderzoek en advies
Projects – Beveiligingsoplossingen
Training Managed Security Services – Beheer diensten
Crypto
Fox-IT
Staatsgeheimen Leven en dood Grote commerciële belangen Commerciële belangen beveiliging
Consumenten
Forensisch IT Onderzoek
Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen
Onderzoek Sporen vinden en zien is geen kunst. Sporen vastleggen en interpreteren wel. Koppeling aan een natuurlijk persoon.
Juiste redenering? Op de PC is kinderporno aangetroffen. De PC staat bij de verdachte thuis. De verdachte werkt met de PC. De verdachte is schuldig.
Case 1 • Anoniem dreigbericht aan directie – Afkomstig van Hotmail adres – Iedereen kan een Hotmail adres aanmaken
• Hotmail geeft IP adres afzender door – Bleek proxy server van de klant te zijn
• Proxy logs onderzocht – Bericht verzonden vanaf interne werkplek!
• Werkplek en account gevonden!
Case 1 • Is werkplek / login account genoeg? • Verdachte: “Ik was aan het lunchen.” – Geen andere sporen op de werkplek op moment van verzenden
Case 1 • Is werkplek / account genoeg? Meestal niet! • Geen goede koppeling aan persoon – Door slechte authenticatie – (of helemaal geen)
• Aanvullende maatregelen ook essentiëel: – Scherm locken bij afwezigheid
Case 1 • Case closed… • Hotmail account bleek een paar weken eerder aangemaakt – Op dat moment sporen van allerlei andere activiteiten
• Daarmee aannemelijk wie het bericht heeft verstuurd – Bewijslast civiele zaken minder zwaar
In de praktijk • Praktijk van onderzoeken: – 20% van het werk: vaststellen IP adres, account etc. – 80% van het werk: aantonen wie ermee werkte
• Geen goede koppeling sporen aan persoon • Kan veel oorzaken hebben – O.a. gebrek aan authenticatie
Case 2 • On-line banking applicatie
– Verdachte transacties aangetroffen – Geld weggesluisd naar voormalige Sovjet landen
• Betrokken login accounts applicatie snel gevonden • Wat is er gebeurd?
– Rekeninghouders? – Bankmedewerkers? – Externen?
Case 2 • Wat kun je zeggen op basis van een login account? • Username/password authenticatie – Uh-oh...
• Wachtwoorden zijn zwak – Keyboard sniffer – Brute force – “Iedereen weet mijn wachtwoord”
Case 2 • On-line banking applicatie blijkt gehacked – Gebruikersaccounts gestolen
• Weinig aanknopingspunten voor onderzoek – IP adressen uit verre landen
Case 2 • Duidelijk verbeterpunt: Sterke authenticatie – 2-factor authentication met token
• Token moeilijker te stelen dan wachtwoord – (Deels) verantwoordelijkheid van de gebruiker
Trends • Georganiseerde misdaad en IT hebben elkaar (na lang wachten) gevonden • Systemen meer en meer on-line – Afhankelijkheid van IT systemen neemt toe – Systemen moeten live blijven, offline onderzoek steeds moeilijker – Minder controle over (delen van) infrastructuur
• Authenticatie vaak slecht
Lies, damned lies & statistics • 170% stijging online fraude in de VS periode 2003-2004 (bron: http://www.ic3.gov/media/annualreports.aspx
• Grootste gedeelte online veiling fraude • Via E-mail en web pagina’s • Voor Nederland ontbreekt die informatie vooralsnog – Meldpunt Cyber Crime Nederlandse overheid
)
Phishing • Het ”spoofen” van e-mail berichten • Vaak in combinatie met namaak website • Doel: verkrijgen van persoonlijke informatie – – – –
Online banking gegevens CreditCard Bol.com login Etc etc…
Samenvattend • Koppelen technische sporen aan persoon lastig – (Deels) door slechte/onbrekende authenticatie – Aannemelijkheid aantonen door context van sporen
• Trend naar minder controle infrastructuur – On-line toegang tot (interne) systemen, phishing – Onderzoek wordt steeds moeilijker
• Authenticatie is essentiëel – Groot voordeel bij forensisch onderzoek op interne systemen – Vaak een van de weinige aanknopingspunten – Natuurlijk ook preventief
Contactgegevens Jeremy Butcher CISSP CISA Fox-IT Olof Palmestraat 6 P.O. Box 638 2600 AP Delft The Netherlands Tel.: +31 (0)15 284 79 99 Fax: +31 (0)15 284 79 90 Email:
[email protected] Web www.fox-it.com