Cybercrime threats on e-world

Hoe voorbereiden op en overwinnen van cybercrimeHoe voorbereiden op en overwinnen van cybercrime

Miguël BlauwbloemeFederal Computer Crime Unit

Directie voor de bestrijding van de economische en financiële criminaliteit © 2005

Presentatie VERA06-06-2005

Internet ...de informatie snelweg brengt je tot bij de Informatie gemeenschap, E-commerce, E-government ...

Hip hip hip ...... Hoera !!!!

Waarom heb je mij uitgenodigd ?

Om slecht nieuws te brengen ?

NEE, enkel om advies te geven om je van deze situatie te behoeden..

Hoe wist ik over bestaan vanmisdaad tegen e-world ?

Het bestaat nog niet ?

Presentatie gebaseerd opcyber crime dossiers in Belgie

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Doelstelling

• Geen opleiding

• Wel bewustmaking• Risico’s ICT fraude• Bewaring sporen• Mogelijkheden politie

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Mijn buurman, een ICT fraudeslachtoffer ?

• Ze hebben u niet speciaal op ‘t oog … maar

• u bent aangesloten en zichtbaar op het Internet, het telefoonnetwerk of je nieuwe wireless

• u bent een leuk doel om hun nieuwe virus op te testen

• ze zoeken juist een ICT systeem te gebruiken :

• als opslag en uitwisselstation van illegale stuff (kinderporno, warez,…)

• als tussenstation voor illegale activiteit (spamming, hacking)

• om internationale oproepen te doen … waar u voor betaalt

• ze willen een nieuwe computer en u heeft er een

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Ik ? Slachtoffer ? Waarom ?

• Ze zoeken u :

• vanwege hun interesse voor de data op uw systeem• Identiteitsgegevens • Financiële informatie (inkomen, credit cards, …)• Gezondheidsinformatie (Ziektes, behandelingen, …)• Gerechtelijke achtergrond

• omdat ze u niet leuk vinden en omdat ze uschade willen toebrengen of willen uitschakelen

• Sociale / economische / civil / politieke organisaties• Terroristische organisaties

Wat extra zorg is aangewezen indien …

• uw business / productie processen volledig of in belangrijke mate afhangen van uw ICT systeem=> groeiende kwetsbaarheid => grote impact ICT crime

• u vitale of cruciale diensten levert • Energie / Water• Telecommunicatie• Transport• Financiële instituten• Gezondheidsinstellingen

• uw werknemers hebben een externe toegang tot uw interne netwerk (0800 lijnen of Internet)

Slachtoffers ICT fraude• Van multinationals over KMO tot particulier• GEEN assessment van waarde van gegevens

=> GEEN backups• Slechte controle op sleutelfunctie werknemers• Geen/slechte beveiliging ICT (rol management)• Niet voorzien op incidenten nacht / weekend• Geen of late ontdekking : klachten van buitenaf• Installatie van aangepaste versies van

besturingssystemen op gehackte computers • Absoluut gebrek aan bewustzijn bij gebruikers

Schade om over na te denken

• Een bezoekje vroeg in de morgen • Uw bedrijf afgesloten van Internet door ISP wegens

verspreiding spam (door hacker via uw server)• Uw telecomfactuur volgende maand 200.000 € hoger• Resultaat van 5 jaar R&D inzake spitstechnologie

met documentatie en broncode in handen van de concurrent• Uw bedrijf gedurende enkele dagen plat –

kosten voor diagnose & heropstarten - verliezen• Uw systeembeheerder aangehouden omwille van gebruik van

uw bedrijfsserver voor uitwisseling kinderpornografie• Uw persoonlijke documenten / foto’s / e-mails te grabbel op

Internet

Als slachtoffer (bedrijf) bent u misschien aansprakelijk voor …

• de illegale activiteit op uw ICT systeem

• de schade veroorzaakt aan andere ICT systemen

• de schade veroorzaakt aan uw klanten

• het niet in overeenstemming zijn met de Privacy wet • Informatieverplichting van een gegevensverwerker• Afwezigheid van bescherming van persoonlijke data

• het niet in staat zijn om de overheden te voorzien van verbindingsgegevens als telecom service provider

• producten die niet werken op een veilige manier

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

De “bad guys”De “bad guys”

Who are they ?Who are they ?

Dadersprofielen : script kiddies

• Hoofdzakelijk jonge mannen <20 jaar• Schoolkennis ICT – weinig ervaring

Maken gebruik van Internetdoc en programma’s• Studenten of eerste broekjes• Meestal geen relatie met hun slachtoffers.• Abnormale « werk »tijden (nacht / weekend)

• Niet gerichte acties wegens gebrek aan duidelijk doel : vervallen in ICT vandalisme.

• Vormen door hun gebrek aan kennis vaak een groot gevaar voor het aangevallen systeem.

Daderprofielen : de Pro’s

• Hoofdzakelijk jonge mannen <40 jaar• Goede tot zeer goede ICT kennis en ervaring• Functies met hoge verloning (Dir, SysAdm,...)• Werknemers van bedrijf dat slachtoffer werd.• Abnormale werktijden (nacht / weekend)• Abnormaal hoge levensstandaard / schulden• Soms ondersteuning georganiseerde criminaliteit• De wereld is klein …

• Gerichte acties met duidelijk oogmerk : financiëel gewin, wraak, …

• Wissen sporen, houden poort open

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Hoe ICT-fraude ontdekken ?• Het gevaar van buitenaf : een portier

• Activatie en nazicht logfiles (sporen van activiteit) • Firewall, proxy-servers, • Toezicht op gebruik bandbreedte / stockagecapaciteit

• Het gevaar van binnenin : de nachtwaker• Toezicht op gebruikersgedrag

(Volume, tijdstip, connectiepunt, gelijktijdige aansluiting)• Vergelijken van gebruikersprofielen (bvb met “normaal”)• Aandacht voor “kwetsbare” momenten in ICT systeem

(testfases, conversiemomenten, …)• Audits ICT-ontwikkeling & werking ICT systeem

Waar zijn er sporen in het ICT systeem ?• Op de PC van de « verdachte »

• Opgeslagen (gewiste) gebruikersbestanden• Tijdelijke bestanden (werkbestanden toepassingen)• Loggingbestanden van toepassingen• Bestanden Internet activiteit (surf, mail, news,…)

• Binnen het bedrijfsnetwerk• Gebruikerslijst / toegangsrechten • Logfiles (aansluiting op netwerk, internetgebruik)

• Andere partijen• Telefoonmaatschappij (oproep naar Internet toegangs P)• Internet toegangs P (Internetsessies : dynamisch adres)• Internet diensten P (sporen gebruikte Internetdiensten)

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Waar een klacht neerleggen ?

• Bij een politiedienst …• Lokale Politie => niet gespecialiseerd => niet aangewezen

• Gerechtelijke Dienst van het Arrondissement (GDA) => beter maar …

• GDA/ regionale CCU => the right place to be

• Federal Computer Crime Unit => 24/7 contactRisico’s voor aanvallen op vitale / cruciale ICT systemen => bellen !

• … of onmiddellijk bij een magistraat ?• Procureur des Konings => zal toch opdracht naar politie zenden

=> kan beslissen om niet te vervolgen

• Onderzoeksrechter => klacht met burgerlijke partijstelling=> verplichting om de zaak te onderzoeken

E-Politie organisatie en taken

Fed PolNationaal Niveau

25 personen24 aanwezig

1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact

Beleid 6

Juridisch

Vorming

Materieel

Infobeheer

Internet-opsporingen 8 Proactieve projecten

Centraal Gerechtelijk Meldpunt op Internet

Operaties 8

Forensische bijstand Complexe ICT syst. tvv- RCCU- centrale eenheden

Onderzoek ICT crime

Cyber crime task force

Telecom 3 Advies inzake

- intercepties en observaties

Dossiers telecom fraude

Forensische GSM analyse

Fed PolRegionaalNiveau 105 personen90 aanwezig

19 Regionale Computer Crime Units (1 – 3 Arrondissementen)Bijstand voor huiszoekingen, analyse van ICT systemen, verhoren, internetopsporingen

Dossiers ICT criminaliteit(ondersteund door FCCU)

LokaalNiveauFed PolLok Pol

Eerste lijnspolitie“Bevriezen” van de situatie tot de komst van FCCU of RCCUHerkennen, selecteren en veiligstellen van ICT gegevensdragers

Ons dienstenaanbod

• Nemen uw klacht op• Afstapping op de plaats van het misdrijf

• Vormen een beeld van het slachtoffer systeem• (Image) backup van systeem (indien mogelijk)• Analyse van logfiles

• Internet opsporingen (Identificatie, lokalisatie)• Huiszoekingen • Verhoor van betrokken partijen• Forensische analyse van IBN ICT apparatuur• Opstellen van een « begrijpbaar » rapport

• Onbekendheid van slachtoffers met ICT fraude• Schrik bij slachtoffers voor hun « imago »• Laattijdigheid van de klachten

• Herstel van ICT systeem primordiaal• « vertrappelde sporen »

• Gefilterde sporen & problemen tijdsynchronisatie• Onbekendheid van politie / magistratuur met ICT• Kosten van het onderzoek• Internationaal aspect• Vluchtigheid van telecom / Internetsporen

Grootste problemen bij ICT opsporingen

Agenda

• Doelstelling

• Fraude op buurman’s ICT systeem ?

• Het slachtoffer

• De “bad guys”

• Hoe ontdekken

• Het gerecht

• Aanbevelingen

Preventieve tips• Stel algemene ICT gebruiksrichtlijn op

• ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid

• Stel ICT veiligheidsverantwoordelijke aan • bewustmaking & controle van de toepassing

• Scherm bedrijfskritische systemen / gegevens afvan op Internet aangesloten netwerken !

• Installeer recente Anti-virus ; Firewall en actualiseer• Ook op persoonlijke laptops

• Synchroniseer de systeemklok regelmatig• Activeer en controleer loggings / voer audits uit• Maak en test backups en bewaar ze veilig !

Tips voor slachtoffers van ICT fraude

• Verbreek verbinding (indien niet door aanvaller veroorzaakt)• Noteer info inzake laatste ICT activiteit en exact tijdstip

• Evalueer : schade belangrijker dan herstarten ?

• Herstarten belangrijk : maak full backup vóór herinstallatie• Schade belangrijker : laat situatie onaangeroerd

• Bewaar alle berichten, loggings in originele toestand• Leg klacht neer bij politie of parket …• Wijzig alle paswoorden en liefst ook gebruikersnamen• Pas opnieuw verbinden indien oorzaak verholpen

Contact informatieFederale PolitieDirectie voor de bestrijding van economische en financiële

criminaliteitFederal Computer Crime UnitNotelaarstraat 211 - 1000 Brussel

Tel kantoor uren : +32 2 743 74 74Tel 24/7 permanentie : +32 2 743 73 84Fax : +32 2 743 74 19

FCCU

Central Judicial Contact Point: contact@fccu.be