Forensisch IT Onderzoek Authenticatie

Forensisch IT Onderzoek Authenticatie

Forensisch IT onderzoek?

Forensisch IT onderzoek!

Forensisch IT Onderzoek Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen

Fox-IT Opgericht maart 1999 Oprichters afkomstig van Nederlands Forensisch Instituut te Rijswijk (NFI)

5 Business Units Forensics & Audits Onderzoek en advies Projects Beveiligingsoplossingen Training Managed Security Services Beheer diensten Crypto

Fox-IT Staatsgeheimen Leven en dood Grote commerciële belangen Commerciële belangen beveiliging Consumenten

Forensisch IT Onderzoek Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen

Onderzoek Sporen vinden en zien is geen kunst. Sporen vastleggen en interpreteren wel. Koppeling aan een natuurlijk persoon.

Juiste redenering? Op de PC is kinderporno aangetroffen. De PC staat bij de verdachte thuis. De verdachte werkt met de PC. De verdachte is schuldig.

Case 1 Anoniem dreigbericht aan directie Afkomstig van Hotmail adres Iedereen kan een Hotmail adres aanmaken Hotmail geeft IP adres afzender door Bleek proxy server van de klant te zijn Proxy logs onderzocht Bericht verzonden vanaf interne werkplek! Werkplek en account gevonden!

Case 1 Is werkplek / login account genoeg? Verdachte: Ik was aan het lunchen. Geen andere sporen op de werkplek op moment van verzenden

Case 1 Is werkplek / account genoeg? Meestal niet! Geen goede koppeling aan persoon Door slechte authenticatie (of helemaal geen) Aanvullende maatregelen ook essentiëel: Scherm locken bij afwezigheid

Case 1 Case closed Hotmail account bleek een paar weken eerder aangemaakt Op dat moment sporen van allerlei andere activiteiten Daarmee aannemelijk wie het bericht heeft verstuurd Bewijslast civiele zaken minder zwaar

In de praktijk Praktijk van onderzoeken: 20% van het werk: vaststellen IP adres, account etc. 80% van het werk: aantonen wie ermee werkte Geen goede koppeling sporen aan persoon Kan veel oorzaken hebben O.a. gebrek aan authenticatie

Case 2 On-line banking applicatie Verdachte transacties aangetroffen Geld weggesluisd naar voormalige Sovjet landen Betrokken login accounts applicatie snel gevonden Wat is er gebeurd? Rekeninghouders? Bankmedewerkers? Externen?

Case 2 Wat kun je zeggen op basis van een login account? Username/password authenticatie Uh-oh... Wachtwoorden zijn zwak Keyboard sniffer Brute force Iedereen weet mijn wachtwoord

Case 2 On-line banking applicatie blijkt gehacked Gebruikersaccounts gestolen Weinig aanknopingspunten voor onderzoek IP adressen uit verre landen

Case 2 Duidelijk verbeterpunt: Sterke authenticatie 2-factor authentication met token Token moeilijker te stelen dan wachtwoord (Deels) verantwoordelijkheid van de gebruiker

Trends Georganiseerde misdaad en IT hebben elkaar (na lang wachten) gevonden Systemen meer en meer on-line Afhankelijkheid van IT systemen neemt toe Systemen moeten live blijven, offline onderzoek steeds moeilijker Minder controle over (delen van) infrastructuur Authenticatie vaak slecht

Lies, damned lies & statistics 170% stijging online fraude in de VS periode 2003-2004 (bron: http://www.ic3.gov/media/annualreports.aspx) Grootste gedeelte online veiling fraude Via E-mail en web pagina s Voor Nederland ontbreekt die informatie vooralsnog Meldpunt Cyber Crime Nederlandse overheid

Phishing Het spoofen van e-mail berichten Vaak in combinatie met namaak website Doel: verkrijgen van persoonlijke informatie Online banking gegevens CreditCard Bol.com login Etc etc

Samenvattend Koppelen technische sporen aan persoon lastig (Deels) door slechte/onbrekende authenticatie Aannemelijkheid aantonen door context van sporen Trend naar minder controle infrastructuur On-line toegang tot (interne) systemen, phishing Onderzoek wordt steeds moeilijker Authenticatie is essentiëel Groot voordeel bij forensisch onderzoek op interne systemen Vaak een van de weinige aanknopingspunten Natuurlijk ook preventief

Contactgegevens Jeremy Butcher CISSP CISA Fox-IT Olof Palmestraat 6 P.O. Box 638 2600 AP Delft The Netherlands Tel.: +31 (0)15 284 79 99 Fax: +31 (0)15 284 79 90 Email: fox@fox-it.com Web www.fox-it.com