jump to navigation

Braindump FIS mei 30, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
trackback

Op basis van Hoofdstuk 4 – Forensic Principles heb ik wat aantekeningen gemaakt, die ik met de wereld wil delen.

Logfiles

  • Het moet mogelijk zijn de logs van systemen in de periferie van de verdachte computer veilig te stellen.

  • Van de verdachte systemen en de systemen in de periferie moeten forensisch correct kopieën worden gemaakt.

  • Hierbij is het behouden van de Chain of Custody van groot (juridisch) belang. Hoe minder handen er aan hebben gezeten, des te beter het is.

  • Data handling mag alleen met getuigen plaatsvinden.

  • Er zijn technische hulpmiddelen beschikbaar om de stelling dat er geen gegevens zijn gewijzigd te onderbouwen (hashing).

  • Er moet rekening worden gehouden met de mogelijkheid dat logs niet goed werken of een onjuiste representatie van de werkelijkheid geven, bijvoorbeeld door externe invloeden.

  • Privacy lijdt onder de verzamelwoede van een forensisch onderzoek.

Data verzamelen

Dan staat er nog een vraag open:

Wanneer wordt de data verzameld?

  • Continue?

  • Als er om gevraagd wordt (door wie, welke criteria, welke gegevens)!

  • Een mix.

Mijn gevoel zegt mij dat er sprake zou moeten zijn van een mix, omdat veel gegevens gewoon gebruikt worden bij het dagelijks beheer van meer of minder complexe ICT systemen. Bij een forensisch onderzoek kan er behoefte bestaan aan aanvullende gegevens. Hier moet voorzichtig mee worden omgegaan, omdat het eenvoudig is de rechten op privacy te schenden en zo de kans op een succesvolle vervolging om zeep te helpen.

Wellicht moeten hiervoor procedures worden opgesteld, welke waarschijnlijk ook nog langs de OR moeten.

Als we het hebben over scholen en onderwijsinstellingen, is de kans groot dat de werkstations een dynamische factor zijn, en voor het verzamelen van data moet worden teruggevallen op de centrale infrastructuur en de servers. In verschillende schoolomgevingen worden de werkstations dagelijks (of vaker) opnieuw ingericht, wat de levensduur van forensische data behoorlijk inkort.

Ik ben wel benieuwd naar de houding van het MKB als er gevraagd wordt om gegevens te verzamelen. De beschikbare apparatuur is meestal niet dubbel uitgevoerd, beheer is vaak uitbesteed of wordt in deeltijd gedaan en downtime kost direct geld.

De butler heeft het gedaan

Na het verzamelen van gegeven en de correlatie ervan, is het ook wel handig te bepalen “wie” het heeft gedaan. Dus, wie zat er achter de computer, waarvan het IP-adres en MAC-adres achterhaald zijn? Om deze vraag te kunnen beantwoorden moet worden teruggevallen op de autorisatieschema's van het bedrijf of instelling waar het onderzoek plaatsvindt. Als dit autorisatiebeleid duidelijk is en goed is ingevoerd, kan redelijk eenvoudig de bewuste gebruiker worden aangewezen. Zodra het authenticatiebeleid bizarre wachtwoorden vereist, in combinatie met een hoge wachtwoordwijzigfreqentie (en de “geeltjes”dichtheid toeneemt), en de autorisatieschema's en werkmethoden niet volledig met elkaar in overeenstemming zijn, is de kans groot dat alleen door uitsluiting de bewust gebruiker kan worden gevonden.

Conclusie?

Voor een FIS is inzage nodig in (onder andere) de volgende processen en procedures:

  • Autorisatiebeleid

  • Autorisatieschema

  • Authenticatiebeleid

Daarnaast bestaat tenminste behoefte aan:

  • Logfiles

  • Toegang tot de CMDB

Advertenties

Reacties»

1. Ralph - mei 31, 2006

Hoi!
‘De butler heeft het gedaan’…
Naar mijn gevoel is dit een cruciaal onderdeel, omdat er een scheiding bestaat tussen de digitale gebruiker in het informatiesysteem en de fysieke gebruiker achter het keyboard.
Waar je een onderzoek ook begint, je komt altijd op het moment uit dat je de digitale gebruiker met de fysieke gebruiker moet matchen.
Zelfs met een super autorisatie- en authenticatiebeleid kan nog steeds de fysieke gebruiker niet met zekerheid worden aangewezen.
De fysieke gebruiker zou bijvoorbeeld het slachtoffer van shouldersurfing kunnen zijn.
De toepassing van sterke authenticatie zou al beter zijn, maar nog niet sluitend. Nog steeds kan het token worden ‘geleend’.
Stukje biometrie dan maar?… hmmmm…
Eigenlijk zou je ook de ‘ouderwetse’ bewijsgaring moeten toepassen. Ik doel hiermee op dactyloscopisch onderzoek, het zoeken naar DNA materiaal (lichaamsschilfers, haartjes, etc) en het zoeken naar ander materiaal.
Ik zit me nu te bedenken dat op het gebied van biometrie onderzoek is / wordt gedaan naar de toetsaanslagen op het keyboard. Deze schijnen voor iedere gebruiker uniek te zijn (het geheel van toetsdruk, snelheid indrukken en loslaten, frequentie, etc). Het aardige van deze technologie is dat je de gebruiker niet met een device hoeft uit te rusten. Scheelt weer procedures, beheer en kosten. Daarnaast kan de gebruiker zijn ‘token’ niet verliezen of kan het worden misbruikt. Shouldersurfen is vergooide tijd.
Aha, dus toch maar een stukje biometrie toepassen? Ik weet niet hoe het staat met dat onderzoek. Ik zal het proberen op te zoeken en wellicht als deeltechniek inzetten in DEC.

2. Rolf - juni 5, 2006

Ik heb een aantal jaren geleden gewerkt voor de marktleider in producten voor sterke authenticatie. Het is een aantal malen voorgekomen dat consultants van dit bedrijf als getuige-deskundige zijn opgeroepen in rechtzaken. Steeds werd sterke (two-factor) authenticatie geaccepteerd als overtuigend bewijs. Belangrijk detail is dat de producten gebaseerd waren op symmetrische encryptie, dus zonder unieke private key.

Dit brengt mij ook op de stelling dat als een gekwalificeerde, digitale handtekening wettig bewijs is, het ook afdoende zou moeten zijn in forensische onderzoeken. Biometrie is dus m.i. zeker geen vereiste.

3. Martin - juni 6, 2006

Gert-Jan,

Deze “aantekeningen” zijn de randvoorwaarden voor de uitvoerbaarheid van een FIS. Om de gewenste info uit een systeem te genereren moet jezeker weten dat deze volledig en juist is.

volledig
– wat moet je opvragen en uit welke systemen;
– hoe lang moeten logfiles worden bewaard, afhankelijk van de wettelijke eisen van bijvoorbeeld NL, FR, USA -scope bepalen?;
– je kunt wel alles loggen maar a) is duur b)beinvloed je performance – wat moet er minimaal gelogd worden?

juist
– wie kan er bij de info gedurende opslag en transport – logische toegangsbeveiliging;
– change management;
– wie is er verantwoordelijke voor het monitoren van de logfiles en wie heeft toegang tot de logfiles?
– audit trail – wat er ook bijgehouden wie de logfiles benaderd heeft?
– functiescheiding tussen:
platform/application/database beheerders;
user administration en IT security;
uitvoerend en controlerend.

conclusie:
Een FIS is alleen werkbaar wanneer je (en de rechter) zeker weet dat de info volledig en juist is. Om deze generieke kwaliteitseisen te kunnen waarborgen dienen een aantal controles geimplementeerd te worden zoals:
– functiescheiding;
– registratie van key activitieiten in logfiles;
– bewaartermijn logfiles;
– logsche toegangsbeveiliging op een need-to-know en need-to-have basis;
– monitoren van logfiles door een onafhankelijk persoon (security officer?)
– procedures bijvoorbeeld voor change management.

4. Martin - juni 7, 2006

Hierbij een aanvulling op de opdracht. Zoals besproken wordt de scope van de opdracht niet het analyseren van data voor de bewijsvoering bij de rechtbank maar het aanleveren van bewijs/data t.b.v. forensisch onderzoek. Om de volledigheid en de juistheid van de aangeleverde data te waarborgen dienen een aantal technische en organisatorische controls geimplementeerd te zijn.
Technisch
– volledigheid: de aangeleverde data dient alle relevante informatie te bevatten van de informatiesystemen die een bedrijfskritische procesondersteunen (platform/database/applicaties). Aan de hand van een checklist dient geinventariseerd te worden welke informatiesystemen in scope zijn en dus welke logbestanden/backup tapes opgeleverd dienen te worden. Ook dient de opgeleverde data gehast te worden zodat er geen twijfel is dat er met de data geknoeid is.

Organisatorisch
Voor het aanleveren van de data dient een procedure opgesteld te worden. De betrokken partijen (ICT/business) dient een formulier te ondertekenen dat de opgeleverde data betrouwbaar is. Ook dient het proces gemonitord/gecoordineerd te worden door een onafhankelijk persoon zodat er geen conflict of interest risico is.

Ik stel voor een baseline met minimale eisen/normen op te stellen voor een bedrijfskrtisch proces waarvoor “forensisch bewijs” aangeleverd dient te worden. Gaarne ASAP reageren voordat we dit verder gaan uitwerken.

5. Gertjan - juni 8, 2006

Dit ziet er uit als een goed startpunt, hoewel ik het geen aanvulling op de opdracht zou willen noemen, eerder een beperking. Beperkingen hebben het voordeel dat de scope kleiner wordt, waardoor de hoeveelheid werk afneemt (hoop ik).

Voordat we de diepte ingaan en ons beperken tot één specifiek systeem (een bedrijfskritisch proces) wil ik nog wat randvoorwaarden verkennen en uitwerken. Ik denk dat we dan enigszins kunnen voorkomen dat we op onze schreden terug moeten keren omdat we in het voortraject iets over het hoofd hebben gezien. Qua tijd is dat ook wel mogelijk.

Mijn voorstel is het spectrum van het FIS te verkennen, binnen de IT-techniek (de C van (tele)communicatie er vooralsnog buiten te laten) en na het bepalen van de relevante grenzen e.e.a. uit te werken voor een bedrijfskritsch proces.

6. Coen, Gertjan & Martin’s Weblog » Het ontwerp van het FIS - juni 8, 2006

[…] Martin heeft in zijn commentaar op de Braindump FIS een aantal interessante opmerkingen gemaakt, die ik niet herhaal, maar samen met dit artikel het FO kunnen vormen. […]

7. Coen - juni 8, 2006

De gedachte hoe het FIS te omzeilen is heb ik nog niet gezien. Zal direct dit topic openen en een aantal gedachten hierbij zetten.

Verder ben ik het eens met de wijze van aanpak en het overgaan tot het bepalen van het functioneel ontwerp.


Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: