Cybercrime,.How to start! Cybercrime How to start? Deel 1 Netwerken Internet - Mail Didactische doelstellingen De cursist : herkent en benoemt de basisbegrippen netwerk en internet De cursist : herkent en beschrijft de belangrijkste systemen hieromtrent Inhoud Netwerk / Internet IP adres DNS 3 4 Inhoud Netwerk / Internet Geen Netwerk Vroeger : 1 huis 1 PC IP adres DNS 5 6 1
Geen Netwerk Wel Internet Vroeger : 1 huis 1 PC 1 internetverbinding Wel Netwerk Analoge / ISDN modem (telefoonlijn courant sinds jaren 90) Kabelmodem (Telenet - 1997) IAP A / V DSL modem (Belgacom - 1998) 7 8 Wel Netwerk 1 PC 2 laptops 1 playstation 1 nintendo Dsi 2 smartphones... Wel Netwerk onderling verbonden (hub / switch) 1 internetverbinding (router / modem) 9 10 Wel Netwerk onderling verbonden (hub / switch) Wel Netwerk onderling verbonden (hub / switch) 1 internetverbinding (router / modem) 1 internetverbinding (router / modem) 11 12 2
Geschiedenis 02:13 Wat is het internet 02:19 11/05/2015 Wel Netwerk onderling verbonden (hub / switch) 1 internetverbinding (router / modem) Het internet In de basis: een netwerk van netwerken Router (+ modem) Ortland@hotmail.com Kabel ADSL VDSL IAP 13 14 IP-adres Http PING Header NTP Routing FTP NAS Hostname Switch DNS DDOS Server P2P MAC E-mail LET US TAKE YOU ON A TRIP 15 16 17 18 3
174.12.65.126 3ffe:6a88:85a3:08d3:1319:8a2e:0370:7344 Elk toestel dat verbonden is met het internet heeft op dat moment een IP adres, wat te vergelijken is met een telefoonnummer toegewezen aan een computer. Dit adres wordt beheerd door een Internet Service Provider 19 20 Elk toestel dat verbonden is met het internet heeft op dat moment een IP adres, wat te vergelijken is met een telefoonnummer toegewezen aan een computer. Dit adres wordt beheerd door een Internet Service Provider Soorten : IP V4.: 192.168.212.124 vs. IP V6: 3ffe:6a88:85a3:08d3:1319:8a2e:0370:7344 Uniek adres per computer voor identificatie in het netwerk IPv4 : 4 groepen van maximum 3 decimale getallen Decimaal : van 0 tot 255 = 256 eenheden = 4.294.967.296 IP-adressen vb : 66.249.91.103 Tegen 2010 2015 geen adressen meer vrij IPv6 : 8 groepen van maximum 4 hexadecimale getallen Hexadecimaal : 0 -> 9 en a -> f = 16 getallen = 340.282.366.920.938.463.463.374.607.431.768.211.456 adressen vb : 3ffe:8ac4:bc74:395d:7344:6a88:e8d3:5370 21 22 Elk toestel dat verbonden is met het internet heeft op dat moment een IP adres, wat te vergelijken is met een telefoonnummer toegewezen aan een computer. Dit adres wordt beheerd door een Internet Service Provider Soorten : Statisch (vast) vs. Dynamisch (toegewezen aan een gebruiker op een bepaalde datum, uur en tijdzone) Soorten : EXTERN IP-adres (toegewezen door ISP) vs. INTERN IP-adres (toegewezen door Router via DHCP) EXTERN IP-adres = nodig voor toegang tot het internet INTERN IP-adres = gebruikt binnen lokaal netwerk (intranet) Welke? 10.x.x.x 172.16.x.x 172.31.x.x 192.168.x.x 23 24 4
Waar vinden wij het IP-adres terug? Met welk IP-adres krijg je toegang tot het internet? 25 26 Welke getallenreeks is een correct IP-adres? 256.12.47.23 145.119.238 10.254.23.116 192.168.0.1 27 28 Elk toestel dat verbonden is met het internet heeft op dat moment een IP adres, wat te vergelijken is met een telefoonnummer toegewezen aan een computer. startpunt om de eindgebruiker te vinden Dit adres wordt beheerd door een Internet Service Provider Soorten : Intranet (lokaal netwerk thuis) vs. Internet (gebruik op internet) 29 30 5
Resultaat : ISP van het betrokken IP adres -> startpunt verder onderzoek vordering tot identificatie van de gebruiker van het IP adres op de datum (1) en het tijdstip (2) van de feiten en - indien meegegeven de tijdzone (3). 31 32 Resultaat : ISP van het betrokken IP adres -> startpunt verder onderzoek vordering tot identificatie van internetabonnee van het IP adres op de datum (1) en het tijdstip (2) van de feiten en - indien meegegeven de tijdzone (3). Belang datum-tijdstip-tijdzone : Internet Access Providers hebben een reeks beschikbare IP adressen. Ze wijzen een beschikbaar IP adres voor de duur van het internetgebruik toe aan een internetabonnee. Na gebruik gaat dit IP adres weer terug in de reeks beschikbare adressen. Als een andere internetabonnee online komt, kan hij hetzelfde IP adres krijgen. 33 34 Belang datum-tijdstip-tijdzone : Internet Access Providers hebben een reeks beschikbare IP adressen. Ze wijzen een beschikbaar IP adres voor de duur van het internetgebruik toe aan een gebruiker. Om bij de internetabonnee te komen, moeten we dus het IP adres en de juiste datum / tijdstip / tijdzone hebben! in ISLP / FEEDIS als nummer vatten heeft géén nut zonder deze extra gegevens. www.google.be www.polfed-fedpol.be 35 36 6
Domeinnaam -> IP 02:01 11/05/2015 Een domeinnaam wordt omgezet naar een IP adres door een Resolving DNS server. Een DNS server is te vergelijken met een telefoonboek. Domeinnaam (URL) IP adres www.google.be 173.194.77.94 www.telenet.be 195.130.144.20 www.hln.be 146.185.54.198 www.deredactie.be 95.130.42.33... 37 38 Een domeinnaam wordt omgezet naar een IP adres door een Resolving DNS server. Een DNS server is te vergelijken met een telefoonboek. Registratie en beheer domeinnaam door een registrar blabla.be + Klantinformatie + xx blabla.be + Klant / registrar informatie.be 39 40 http://www.polfed-fedpol.be/ Registratie en beheer domeinnaam door een registrar, startpunt om de eigenaar van een domein te vinden vb. http://www.polfed-fedpol.be/ Registratie en beheer domeinnaam door een registrar, startpunt om de eigenaar van een domein te vinden vb. 41 42 7
Registratie en beheer domeinnaam door een registrar, startpunt om de eigenaar van een domein te vinden Resultaat Registratie en beheer domeinnaam door een registrar, startpunt om de eigenaar van een domein te vinden Resultaat 43 44 Registratie en beheer domeinnaam door een registrar, startpunt om de eigenaar van een domein te vinden Resultaat : gegevens eindgebruiker of bedrijf gegevens registrar -> startpunt verder onderzoek De GPS van het internet 45 46 Navigatie door middel van routers is als een soort GPS systeem ; routers kennen de routers rond hen en kiezen de snelste route! 47 48 8
Email 02:16 11/05/2015 rccu.hasselt@fccu.be Verschillende stappen tussen verzender en ontvanger Een hoop verschillende technieken : pop smtp imap push pull... Belangrijke bron van informatie: mailheader 49 50 Belangrijke bron van informatie: mailheader Elke stap, verzender, smtp, antispam, mailstore,... laat sporen na in de mailheader. Deze sporen zijn het startpunt van een onderzoek. Mailheader zichtbaar maken is verschillend voor elke mailcliënt/ webmail. -> zie infofiche of contacteer RCCU voor meer informatie. http://www.spamcop.net/fom-serve/cache/19.html Minimale oplossing: klager de mail laten bewaren tot tweedelijnspolitie deze opvraagt. 51 52 Received: from TransportIN.fccu.be (10.0.0.71) by mail.befast.be (10.0.0.5) with Microsoft SMTP Server id 8.3.245.1; Tue, 4 Sep 2012 16:51:13 +0200 Received: from silvio.dnxnetwork.lu (silvio.dnxnetwork.lu [95.130.185.75]) by TransportIN.fccu.be (Postfix) with ESMTP id DA6C52444D for <roel.demaeyer@fccu.be>; Tue, 4 Sep 2012 16:55:59 +0200 (CEST) Received: from dnxlaptop003 (unknown [81.164.249.90 ]) by silvio.dnxnetwork.lu (Postfix) with ESMTPSA id 8239B5A643E for <roel.demaeyer@fccu.be>; Tue, 4 Sep 2012 16:51:10 +0200 (CEST) From: Julien Marcelis <julien@dnxnetwork.lu> To: DE MAEYER Roel <roel.demaeyer@fccu.be> Date: Tue, 4 Sep 2012 16:51:11 +0200 Subject: RE: Credit Card Fraud CasesInfofiche emailheaders RCCU.doc Thread-Topic: Credit Card Fraud Cases Thread-Index: AQJPQKsKwrXzAHRYmYnRAKIR4UJf4QHrddrtAjZ6ITcDO6vLs5Y76wNw Message-ID: <024d01cd8aac$b9747ec0$2c5d7c40$@dnxnetwork.lu> References: <004101cd84f6$b3b49530$1b1dbf90$@dnxnetwork.lu> <002201cd89c7$3d46f4d0$b7d4de70$@demaeyer@fccu.be> <022301cd8aa6$dcf57350$96e059f0$@dnxnetwork.lu> <001f01cd8aa9$260c5160$7224f420$@demaeyer@fccu.be> In-Reply-To: <001f01cd8aa9$260c5160$7224f420$@demaeyer@fccu.be> Accept-Language: nl-be, nl-nl, fr-be Content-Language: en-gb X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-Organization-AuthSource: marconi.fccu.be X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-spam-status: No, score=-2.6 required=3.5 tests=html_message,bayes_00 x-spam-flag: NO Content-Type: multipart/related; boundary="_003_024d01cd8aacb9747ec02c5d7c40dnxnetworklu_"; type="text/html" MIME-Version: 1.0 53 54 9
55 10