jump to navigation

Forensic papers op TIAS filex mei 31, 2006

Posted by Gertjan in Achtergrond.
4 comments

Na moderatie door Jan heeft onze gewaardeerde coördinatrice Lies een aantal documenten op de file exchange gezet. Deze komen uit mijn archief en beschrijven de verschillende stappen in het forensisch onderzoek.

Gertjan 8) 

Advertenties

Braindump FIS mei 30, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
7 comments

Op basis van Hoofdstuk 4 – Forensic Principles heb ik wat aantekeningen gemaakt, die ik met de wereld wil delen.

Logfiles

  • Het moet mogelijk zijn de logs van systemen in de periferie van de verdachte computer veilig te stellen.

  • Van de verdachte systemen en de systemen in de periferie moeten forensisch correct kopieën worden gemaakt.

  • Hierbij is het behouden van de Chain of Custody van groot (juridisch) belang. Hoe minder handen er aan hebben gezeten, des te beter het is.

  • Data handling mag alleen met getuigen plaatsvinden.

  • Er zijn technische hulpmiddelen beschikbaar om de stelling dat er geen gegevens zijn gewijzigd te onderbouwen (hashing).

  • Er moet rekening worden gehouden met de mogelijkheid dat logs niet goed werken of een onjuiste representatie van de werkelijkheid geven, bijvoorbeeld door externe invloeden.

  • Privacy lijdt onder de verzamelwoede van een forensisch onderzoek.

Data verzamelen

Dan staat er nog een vraag open:

Wanneer wordt de data verzameld?

  • Continue?

  • Als er om gevraagd wordt (door wie, welke criteria, welke gegevens)!

  • Een mix.

Mijn gevoel zegt mij dat er sprake zou moeten zijn van een mix, omdat veel gegevens gewoon gebruikt worden bij het dagelijks beheer van meer of minder complexe ICT systemen. Bij een forensisch onderzoek kan er behoefte bestaan aan aanvullende gegevens. Hier moet voorzichtig mee worden omgegaan, omdat het eenvoudig is de rechten op privacy te schenden en zo de kans op een succesvolle vervolging om zeep te helpen.

Wellicht moeten hiervoor procedures worden opgesteld, welke waarschijnlijk ook nog langs de OR moeten.

Als we het hebben over scholen en onderwijsinstellingen, is de kans groot dat de werkstations een dynamische factor zijn, en voor het verzamelen van data moet worden teruggevallen op de centrale infrastructuur en de servers. In verschillende schoolomgevingen worden de werkstations dagelijks (of vaker) opnieuw ingericht, wat de levensduur van forensische data behoorlijk inkort.

Ik ben wel benieuwd naar de houding van het MKB als er gevraagd wordt om gegevens te verzamelen. De beschikbare apparatuur is meestal niet dubbel uitgevoerd, beheer is vaak uitbesteed of wordt in deeltijd gedaan en downtime kost direct geld.

De butler heeft het gedaan

Na het verzamelen van gegeven en de correlatie ervan, is het ook wel handig te bepalen “wie” het heeft gedaan. Dus, wie zat er achter de computer, waarvan het IP-adres en MAC-adres achterhaald zijn? Om deze vraag te kunnen beantwoorden moet worden teruggevallen op de autorisatieschema's van het bedrijf of instelling waar het onderzoek plaatsvindt. Als dit autorisatiebeleid duidelijk is en goed is ingevoerd, kan redelijk eenvoudig de bewuste gebruiker worden aangewezen. Zodra het authenticatiebeleid bizarre wachtwoorden vereist, in combinatie met een hoge wachtwoordwijzigfreqentie (en de “geeltjes”dichtheid toeneemt), en de autorisatieschema's en werkmethoden niet volledig met elkaar in overeenstemming zijn, is de kans groot dat alleen door uitsluiting de bewust gebruiker kan worden gevonden.

Conclusie?

Voor een FIS is inzage nodig in (onder andere) de volgende processen en procedures:

  • Autorisatiebeleid

  • Autorisatieschema

  • Authenticatiebeleid

Daarnaast bestaat tenminste behoefte aan:

  • Logfiles

  • Toegang tot de CMDB

opdracht-scope mei 29, 2006

Posted by Martin in Forensisch Informatie Systeem.
2 comments

Toevoeging opdracht:
wat voor forensische omgeving zou er moeten zijn om het opsporen van bewijs mogelijk te maken, rekening houdend met het recht. Welke toolbox zou je hierbij kunnen helpen.

Toetsing:
1. forensisch principes -hfstk 4;
2. beleidsformulering;
3. opdeling 3 colleges (digitale recherche, hacking/penetratie, toetsing/selectie).

Ik stel voor een eisen/wensenpakket op te stellen voor forensiche toolbox in een kritische omgeving. Hierbij kun je denken aan een bank of jusitie. Verder dient er een keuze gemaakt te worden of er een toolbox voor een applicatie, database/middleware of operating system ontworpen dient te worden. Gezien mijn achtergrond gaat mij voorkeur uit voor een platform. Gaarne reactie.

Keuzes:
1. welke onderwerp (zie boven);
2. welke IT object vb. email of databases;
3.samenspel techniek/organisatie/wetgeving.

Stapje voor Stapje… mei 29, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
2 comments

Stap voor stap kun je de uitwerking van een Forensisch Informatiesysteem (FIS) voor elkaar krijgen, want met grote stappen ben je niet snel thuis. Teveel verschillende aspecten spelen hier een rol, waarbij de Wet bescherming persoonsgegevens (Wbp) een hoofdrol heeft. Zowel bij het vergaren van informatie (proportionaliteit) en het doel daarvan (subsidiariteit), als bij het bewaren en correleren van gegevens levert dat veel en belangrijke aandachtspunten op. Dit wordt trouwens ook duidelijk weergegeven in hoofdstuk 4 van het leeswerk.

Het is wel aardig om van te voren een opzet te maken van wat je wilt weten, als je aan een onderzoek begint. En dan kan het praktisch zijn om de realiteit niet al te zeer uit het oog te verliezen, dus ook rekening houden met het gegeven dat productie doorgang moet vinden. Dan moet de kans op het verliezen van forensisch interessante of relevante gegevens worden geaccepteerd.

Los van de parameters moeten er wat controle-acties vooraf worden uitgevoerd, zoals het zeker stellen dat de systeemklokken van de verschillende onderdelen van de ICT infrastructuur gelijklopen met een tijdserver, of de offset tussen de individuele systemen onderling en de tijdserver vaststellen. De parameters zijn verder grofweg als volgt in te delen:

  • Welke systemen moeten op (heel) korte termijn weer beschikbaar zijn voor productie? Die komen als eerste in aanmerking voor een image-actie.
  • Een keus moet worden gemaakt tussen doorlooptijd en beschikbaarheid van datadragers. Is het belangrijk de 40 terabyte van een SAN (Storage Area Network) te ghosten, of moeten de logs van de laatste 48 uur van de mailserver worden veiliggesteld?
  • Bepaal welke delen van de infrastructuur een korte logrotatieperiode hebben en behandel deze systemen met prioriteit om forensisch dataverlies te voorkomen of te verkleinen.
  • Beschrijf de verbindingen die de systemen met elkaar en met de buitenwereld hebben. Bepaal de eigenaren van de systemen aan de andere kant. Is daar ook informatie te halen? Bewaren zij (verplicht) verkeersgegevens?
  • In een parallel traject kunnen de verschillende mobiele communicatie apparaten worden uitgelezen, kan het toegangscontrolesysteem worden gecontroleerd en kunnen de logfiles van de actieve netwerkcomponenten worden veiliggesteld.

Bij al deze acties staat of valt de bruikbaarheid van de gegevens met wat er nu daadwerkelijk wordt vastgelegd. De begrenzingen hiervan worden aan een zijde aangegeven door de Wet bescherming persoonsgegevens (zie ook hoofdstuk 4 van de reader) en aan de andere zijde door de bruikbaarheid van de opgeslagen informatie. Een netwerk- of systeembeheerder zal alleen de voor zijn werkzaamheden relevante gegevens vast willen leggen. De beperkte ruimte voor logfiles op actieve netwerkcomponenten speelt hierbij zeker een rol. Maar ook hij heeft zich te houden aan de Wbp en mag niet zomaar alles bijhouden wat er aan verkeersgegevens voorbij komt.

Informatiebronnen mei 29, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
1 comment so far

Om een beetje een beeld op meta-niveau te krijgen van de soorten informatiebronnen, waar het FIS uit zou kunnen putten, heb ik een schets gemaakt. Het idee is overgenomen met dank aan Ralph (http://evonneralph.wordpress.com/2006/05/26/een-eerste-brainstorm/), de uitwerking is van mij. (Klik met rechts op de afbeelding en kies "Afbeelding weergeven" om de tekening in een nieuw venster of tabblad op ware grootte te bekijken).

FIS-3


In de bovenstaande schets verbeeldt de gesloten kist het informatiesysteem waarin forensisch waardevolle informatie te vinden is. De ballonnen aan de buitenzijde zijn een representatie van de soort gegevens die beschikbaar zijn. De kist wordt gesloten gehouden door een klem, waarbij de Wbp een zwaarwegende factor is. Ook productie en beheer spelen hierbij een rol. De koffer (analoog aan de kist) bevat aanvullende, mogelijk forensisch interessante, gegevens vanuit het toegangscontrole systeem. De andere blokken zijn externe informatiebronnen, zoals de ISP gegevens, uitgelezen mobiele telefoons (zakelijk of privé), bewakingscamera's uit de openbare ruimte, etc.

RFID – tracking en tracing voor particulieren mei 28, 2006

Posted by Gertjan in Tegen.
3 comments

Naast het maken van een recherche onderzoek systeem, ga je ook nadenken over de potentiële gevolgen die de beschikbaarheid van een dergelijk systeem voor de burger kan hebben. “You have no privacy – get over it”, zoals Larry Alisson, CEO van Oracle in september 2001 zei. Elektronische systemen kunnen veel informatie opslaan over burgers – en doen dat ook. De veiligheid ligt in de scheiding van deze systemen, hoewel er een tendens is naar het dunner maken van deze scheiding, en er hier en daar al gaten in geprikt worden. De activiteiten van het Amerikaanse Department of Homeland Security en de Europese neiging de Amerikanen te volgen voorspellen niet veel goeds op dit gebied.

Daarnaast wordt elektronica steeds meer onzichtbaar een gemeengoed in het dagelijks leven. Zoals de koelkast Albert belt dat de melk op is en het bier bijna over de datum (of komt andersom vaker voor?) dragen wij straks allemaal een paspoort met een RFID chip op ons lichaam. Onze kleding heeft van de winkel uit een RFID chip meegekregen (http://www.security.nl/article/5839/1/Marks_%26_Spencer_voorziet_kleren_van_RFID_tags.html) en zelfs alle bankbiljetten vanaf € 5,00 zijn al van een dergelijke chip voorzien (http://www.prisonplanet.com/022904rfidtagsexplode.html).

Natuurlijk doen banken helemaal niets met die informatie, ze willen gewoon weten hoe lang een bankbiljet in het verkeer blijft, hoeveel er verdwijnen en wat de omloopsnelheid is. Maar het is natuurlijk maar een kleine stap naar het verbinden aan het bij de PIN-automaat getrokken bankbiljet aan de identiteit van de PIN-pas. Als ook de lokale super die op de kleintjes let zijn informatie beschikbaar stelt aan het opsporingsapparaat is een spoor eenvoudig(er) op te bouwen: http://www-128.ibm.com/developerworks/library/wi-rfidtrack/index.html?ca=drs-tp1806. Ik ben niet de enige die dit bedacht heeft, en anderen hebben er zelfs tegenmaatregelen voor genomen:

Andere interessante RFID links:

http://rfid.emerce.nl/

http://www.security.nl/archive/1/0

“Één druk op de knop” mei 22, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Wat moet je doen om met “één druk op de knop” alle relevante sporen uit een digitaal informatiesysteem te halen.

Dat is eigenlijk de kern van de opdracht.

Deze vraag is op te splitsen in een aantal delen:

  • De voorbereidingen (wat moet je doen), dus eigenlijk de kern van het onderzoek vooraf. Dit is een soort overhead, omdat het voor elk recherche-onderzoek opnieuw moet worden uitgevoerd.
  • Wel moeten er parameters worden ingevoerd (om tot de relevante sporen te kunnen komen). Dat vereist weer voorkennis, bijvoorbeeld op basis van het onderzoek dat de rechercheurs uitvoeren of hebben uitgevoerd, op op basis van hypothesen
  • Er zijn heel veel verschillende soorten sporen mogelijk, afhankelijk van het informatiesysteem dat onderwerp van onderzoek is. Te denken valt aan zowel de min of meer voor de hand liggende zaken, zoals computers, netwerken, fileservers, applicatieservers, mailservers, firewalls, Internet, routers, mobiele telefoons, PDA's (personal digital assistents), toegangscontrolesystemen, videocamera's en de wat minder logische dingen, zoals RFID tags, PIN-automaten (flappentap), trajectcontrolesystemen, en nog zo het een en ander.
  • Om tot één druk op de knop te kunnen komen moet er wel wat gebeuren, zoals het bepalen van de relevantie van systemen waar informatie uit gehaald kan worden, het verkrijgen van de informatie uit die systemen en het onderling met elkaar relateren.
  • Door de grote verschillen in de systemen, in toegankelijkheid en verkrijgbaarheid van loggegevens, is het waarschijnlijk wel handig een scheiding te maken tussen interne en externe systemen. Waarbij de interne systemen in eigen beheer zijn of de gewenste gegevens eenvoudig te onttrekken zijn en de externe systemen (ook op de eigen lokatie kunnen staan) beheersmatig niet eenvoudig te benaderen zijn. (Bijvoorbeeld het uitlezen van de gegevens van een weegbrug, het opvragen van de loggegevens van een door een externe partij beheerde firewall, etc.). Zo zullen uit de eerdere opsomming de informatiesystemen en onderdelen daarvan eenvoudiger uit te lezen zijn dan de logs van een PIN-automaat – tenzij het onderzoek zich bij een bank afspeelt.