Post on 08-Jun-2015
Cybercrime threats on e-world
Hoe voorbereiden op en overwinnen van cybercrimeHoe voorbereiden op en overwinnen van cybercrime
Miguël BlauwbloemeFederal Computer Crime Unit
Directie voor de bestrijding van de economische en financiële criminaliteit © 2005
Presentatie VERA06-06-2005
Internet ...de informatie snelweg brengt je tot bij de Informatie gemeenschap, E-commerce, E-government ...
Hip hip hip ...... Hoera !!!!
Waarom heb je mij uitgenodigd ?
Om slecht nieuws te brengen ?
NEE, enkel om advies te geven om je van deze situatie te behoeden..
Hoe wist ik over bestaan vanmisdaad tegen e-world ?
Het bestaat nog niet ?
Presentatie gebaseerd opcyber crime dossiers in Belgie
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Doelstelling
• Geen opleiding
• Wel bewustmaking• Risico’s ICT fraude• Bewaring sporen• Mogelijkheden politie
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Mijn buurman, een ICT fraudeslachtoffer ?
• Ze hebben u niet speciaal op ‘t oog … maar
• u bent aangesloten en zichtbaar op het Internet, het telefoonnetwerk of je nieuwe wireless
• u bent een leuk doel om hun nieuwe virus op te testen
• ze zoeken juist een ICT systeem te gebruiken :
• als opslag en uitwisselstation van illegale stuff (kinderporno, warez,…)
• als tussenstation voor illegale activiteit (spamming, hacking)
• om internationale oproepen te doen … waar u voor betaalt
• ze willen een nieuwe computer en u heeft er een
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Ik ? Slachtoffer ? Waarom ?
• Ze zoeken u :
• vanwege hun interesse voor de data op uw systeem• Identiteitsgegevens • Financiële informatie (inkomen, credit cards, …)• Gezondheidsinformatie (Ziektes, behandelingen, …)• Gerechtelijke achtergrond
• omdat ze u niet leuk vinden en omdat ze uschade willen toebrengen of willen uitschakelen
• Sociale / economische / civil / politieke organisaties• Terroristische organisaties
Wat extra zorg is aangewezen indien …
• uw business / productie processen volledig of in belangrijke mate afhangen van uw ICT systeem=> groeiende kwetsbaarheid => grote impact ICT crime
• u vitale of cruciale diensten levert • Energie / Water• Telecommunicatie• Transport• Financiële instituten• Gezondheidsinstellingen
• uw werknemers hebben een externe toegang tot uw interne netwerk (0800 lijnen of Internet)
Slachtoffers ICT fraude• Van multinationals over KMO tot particulier• GEEN assessment van waarde van gegevens
=> GEEN backups• Slechte controle op sleutelfunctie werknemers• Geen/slechte beveiliging ICT (rol management)• Niet voorzien op incidenten nacht / weekend• Geen of late ontdekking : klachten van buitenaf• Installatie van aangepaste versies van
besturingssystemen op gehackte computers • Absoluut gebrek aan bewustzijn bij gebruikers
Schade om over na te denken
• Een bezoekje vroeg in de morgen • Uw bedrijf afgesloten van Internet door ISP wegens
verspreiding spam (door hacker via uw server)• Uw telecomfactuur volgende maand 200.000 € hoger• Resultaat van 5 jaar R&D inzake spitstechnologie
met documentatie en broncode in handen van de concurrent• Uw bedrijf gedurende enkele dagen plat –
kosten voor diagnose & heropstarten - verliezen• Uw systeembeheerder aangehouden omwille van gebruik van
uw bedrijfsserver voor uitwisseling kinderpornografie• Uw persoonlijke documenten / foto’s / e-mails te grabbel op
Internet
Als slachtoffer (bedrijf) bent u misschien aansprakelijk voor …
• de illegale activiteit op uw ICT systeem
• de schade veroorzaakt aan andere ICT systemen
• de schade veroorzaakt aan uw klanten
• het niet in overeenstemming zijn met de Privacy wet • Informatieverplichting van een gegevensverwerker• Afwezigheid van bescherming van persoonlijke data
• het niet in staat zijn om de overheden te voorzien van verbindingsgegevens als telecom service provider
• producten die niet werken op een veilige manier
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
De “bad guys”De “bad guys”
Who are they ?Who are they ?
Dadersprofielen : script kiddies
• Hoofdzakelijk jonge mannen <20 jaar• Schoolkennis ICT – weinig ervaring
Maken gebruik van Internetdoc en programma’s• Studenten of eerste broekjes• Meestal geen relatie met hun slachtoffers.• Abnormale « werk »tijden (nacht / weekend)
• Niet gerichte acties wegens gebrek aan duidelijk doel : vervallen in ICT vandalisme.
• Vormen door hun gebrek aan kennis vaak een groot gevaar voor het aangevallen systeem.
Daderprofielen : de Pro’s
• Hoofdzakelijk jonge mannen <40 jaar• Goede tot zeer goede ICT kennis en ervaring• Functies met hoge verloning (Dir, SysAdm,...)• Werknemers van bedrijf dat slachtoffer werd.• Abnormale werktijden (nacht / weekend)• Abnormaal hoge levensstandaard / schulden• Soms ondersteuning georganiseerde criminaliteit• De wereld is klein …
• Gerichte acties met duidelijk oogmerk : financiëel gewin, wraak, …
• Wissen sporen, houden poort open
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Hoe ICT-fraude ontdekken ?• Het gevaar van buitenaf : een portier
• Activatie en nazicht logfiles (sporen van activiteit) • Firewall, proxy-servers, • Toezicht op gebruik bandbreedte / stockagecapaciteit
• Het gevaar van binnenin : de nachtwaker• Toezicht op gebruikersgedrag
(Volume, tijdstip, connectiepunt, gelijktijdige aansluiting)• Vergelijken van gebruikersprofielen (bvb met “normaal”)• Aandacht voor “kwetsbare” momenten in ICT systeem
(testfases, conversiemomenten, …)• Audits ICT-ontwikkeling & werking ICT systeem
Waar zijn er sporen in het ICT systeem ?• Op de PC van de « verdachte »
• Opgeslagen (gewiste) gebruikersbestanden• Tijdelijke bestanden (werkbestanden toepassingen)• Loggingbestanden van toepassingen• Bestanden Internet activiteit (surf, mail, news,…)
• Binnen het bedrijfsnetwerk• Gebruikerslijst / toegangsrechten • Logfiles (aansluiting op netwerk, internetgebruik)
• Andere partijen• Telefoonmaatschappij (oproep naar Internet toegangs P)• Internet toegangs P (Internetsessies : dynamisch adres)• Internet diensten P (sporen gebruikte Internetdiensten)
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Waar een klacht neerleggen ?
• Bij een politiedienst …• Lokale Politie => niet gespecialiseerd => niet aangewezen
• Gerechtelijke Dienst van het Arrondissement (GDA) => beter maar …
• GDA/ regionale CCU => the right place to be
• Federal Computer Crime Unit => 24/7 contactRisico’s voor aanvallen op vitale / cruciale ICT systemen => bellen !
• … of onmiddellijk bij een magistraat ?• Procureur des Konings => zal toch opdracht naar politie zenden
=> kan beslissen om niet te vervolgen
• Onderzoeksrechter => klacht met burgerlijke partijstelling=> verplichting om de zaak te onderzoeken
E-Politie organisatie en taken
Fed PolNationaal Niveau
25 personen24 aanwezig
1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact
Beleid 6
Juridisch
Vorming
Materieel
Infobeheer
Internet-opsporingen 8 Proactieve projecten
Centraal Gerechtelijk Meldpunt op Internet
Operaties 8
Forensische bijstand Complexe ICT syst. tvv- RCCU- centrale eenheden
Onderzoek ICT crime
Cyber crime task force
Telecom 3 Advies inzake
- intercepties en observaties
Dossiers telecom fraude
Forensische GSM analyse
Fed PolRegionaalNiveau 105 personen90 aanwezig
19 Regionale Computer Crime Units (1 – 3 Arrondissementen)Bijstand voor huiszoekingen, analyse van ICT systemen, verhoren, internetopsporingen
Dossiers ICT criminaliteit(ondersteund door FCCU)
LokaalNiveauFed PolLok Pol
Eerste lijnspolitie“Bevriezen” van de situatie tot de komst van FCCU of RCCUHerkennen, selecteren en veiligstellen van ICT gegevensdragers
Ons dienstenaanbod
• Nemen uw klacht op• Afstapping op de plaats van het misdrijf
• Vormen een beeld van het slachtoffer systeem• (Image) backup van systeem (indien mogelijk)• Analyse van logfiles
• Internet opsporingen (Identificatie, lokalisatie)• Huiszoekingen • Verhoor van betrokken partijen• Forensische analyse van IBN ICT apparatuur• Opstellen van een « begrijpbaar » rapport
• Onbekendheid van slachtoffers met ICT fraude• Schrik bij slachtoffers voor hun « imago »• Laattijdigheid van de klachten
• Herstel van ICT systeem primordiaal• « vertrappelde sporen »
• Gefilterde sporen & problemen tijdsynchronisatie• Onbekendheid van politie / magistratuur met ICT• Kosten van het onderzoek• Internationaal aspect• Vluchtigheid van telecom / Internetsporen
Grootste problemen bij ICT opsporingen
Agenda
• Doelstelling
• Fraude op buurman’s ICT systeem ?
• Het slachtoffer
• De “bad guys”
• Hoe ontdekken
• Het gerecht
• Aanbevelingen
Preventieve tips• Stel algemene ICT gebruiksrichtlijn op
• ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid
• Stel ICT veiligheidsverantwoordelijke aan • bewustmaking & controle van de toepassing
• Scherm bedrijfskritische systemen / gegevens afvan op Internet aangesloten netwerken !
• Installeer recente Anti-virus ; Firewall en actualiseer• Ook op persoonlijke laptops
• Synchroniseer de systeemklok regelmatig• Activeer en controleer loggings / voer audits uit• Maak en test backups en bewaar ze veilig !
Tips voor slachtoffers van ICT fraude
• Verbreek verbinding (indien niet door aanvaller veroorzaakt)• Noteer info inzake laatste ICT activiteit en exact tijdstip
• Evalueer : schade belangrijker dan herstarten ?
• Herstarten belangrijk : maak full backup vóór herinstallatie• Schade belangrijker : laat situatie onaangeroerd
• Bewaar alle berichten, loggings in originele toestand• Leg klacht neer bij politie of parket …• Wijzig alle paswoorden en liefst ook gebruikersnamen• Pas opnieuw verbinden indien oorzaak verholpen
Contact informatieFederale PolitieDirectie voor de bestrijding van economische en financiële
criminaliteitFederal Computer Crime UnitNotelaarstraat 211 - 1000 Brussel
Tel kantoor uren : +32 2 743 74 74Tel 24/7 permanentie : +32 2 743 73 84Fax : +32 2 743 74 19
FCCU
Central Judicial Contact Point: contact@fccu.be