jump to navigation

Hardware identificatie en FIS juni 15, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
trackback

We hebben inmiddels op de blogs enkele discussie gehad over de (on)mogelijkheid met zekerheid te bepalen of een gebruiker inderdaad de handelingen zelf heeft verricht, die in de systeemlogs zijn geregistreerd, of dat het om iemand anders gaat. Zelfs toepassing van biometrische technieken en DNA is niet waterdicht gebleken. Ook two-factor authenticatie zegt niet alles, omdat een persoon altijd zijn pc kan verlaten, waarna een onbekende derde zijn duistere praktijken kan uitoefenen. Veel is hier al over gezegd en er zal nog veel meer over worden geschreven, maar ik wil het nu even over een andere onzekerheid hebben. Het is namelijk mogelijk een computer zich voor te laten doen als een andere computer.

Binnen netwerken krijgt een computer toegang op basis van zijn IP-adres en MAC adres. Het IP-adres wordt toegekend door een daartoe bestemde server in het netwerk, maar kan ook handmatig worden ingesteld in de computer zelf. Het MAC adres is door de producent in de fabriek aan de netwerkkaart toegekend.

Beide waarden (IP-adres en MAC-adres) kunnen worden veranderd of gespoofd, waardoor een server kan denken dat de computer die zich aanmeld een andere is dan hij in werkelijkheid is. Dit speelt zich trouwens af op een lagere authenticatielaag dan waar gebruikers zich aanmelden.

Om met meer zekerheid te kunnen bepalen of de gegevens waarmee een computer (dus niet een gebruiker) zich aanmeldt overeenkomen met de gegevens zoals ze horen te zijn, kan hardware identificatie worden toegepast. Processoren die in computers het rekenwerk doen hebben elk hun eigen unieke identificatiecode, Intel is in 2005 een patent toegekend dat hardware identificatie mogelijk maakt met behoud van privacy. http://www.lot49.com/2005/10/intel_awarded_hardware_id_pate.shtml

A method and apparatus for enabling hardware platform identification while ensuring privacy protection. The apparatus comprises a computer-readable medium that stores computer-executable instructions. Those instructions, when executed by a microprocessor, cause an expected hash value, which is derived from a key and a first identifier for a computer system; to be compared with a hash value, which is derived from the key and a second identifier for a computer system. A microprocessor for executing those instructions may comprise an identifier that identifies the microprocessor, and embedded instructions for comparing a hash value, derived from the identifier and a key, to an expected hash value.

Afhankelijk van het belang van het FIS voor de omgeving (zou dit bruikbaar zijn in een kritische omgeving?) kan deze hardware ondersteunde softwaremethode voor het identificeren van nodes een aanvulling betekenen.

Advertenties

Reacties»

1. Coen - juni 15, 2006

Een leuke stelling maar:
Wat is tijdens het juridische proces de toegevoegde waarde van het bewijs dat de overtreding is gepleegd met gebruik making van die specifieke processor?

Daarnnaast worde de sporen van een strafbaar feit niet opgeslagen op de processor, maar op/in een gegevensdrager waarop deze later mogelijk kunnen worden teruggevonden zolang de gegevensdrager niet ‘vluchtig’ is, zoals bijvoorbeeld intern geheugen.

2. Gertjan - juni 15, 2006

Een MAC-adres en een IP-adres kunnen worden vervalst. Het doel van het vastleggen van processoridentificerende gegevens (3x woordwaarde!) naast het MAC-adres en IP-adres is ter garantie dat handelingen uitgevoerd op een werkstation aan het correcte werkstation worden toegekend in de logging.

Op zichzelf zal dit niet veel betekenen, maar dat is met de meeste log-informatie het geval. In samenhang ligt het anders, zeker na interpretatie door de getuige-deskundige. Zie ook het blog (en de comments) van Alf en Joseph: http://alfjoseph.wordpress.com/2006/06/11/wat-is-bewijs/

Er is software voorhanden om ook nog de gegevens van “vluchtig” geheugen uit te lezen (niet zo vluchtig dus).

3. Coen - juni 15, 2006

En wat nu wanneer de processor in een andere computer is geplaatst en op de netwerkkaart van deze andere computer het MAC en IP adres worden ‘spoofed’ ?

Volgens de registratie uit het FIS is het stafbare feit gepleegd met een bepaalde computer: de verdachte computer.

Indien de aanklager dit als bewijsvoering zal aandragen zal de verdachte dit in twijfel kunnen trekken. Want wat heeft de aanklager nog meer gedaan om te bewijzen dat het delict met die specifieke computer is gepleegd?
Om als aanklager deze tegenwerping te kunnen weerleggen zal deze een sporen onderzoek gelasten in het ‘vluchtige geheugen’ van de verdachte computer. Helaas voor de aanklager: het valt niet te bewijzen dat het de verdachte computer is geweest waarmee het delict is gepleegd. -> Het bewijsmiddel is niet rechtsgeldig.

4. Gertjan - juni 15, 2006

Voor de in de eerste alinea aangedragen argumenten kun je aanvullende technische tegenmaatregelen nemen, zoals het afsluiten van systeemkasten, anti-tampering schakelaars, network-port-security, etc.

Het samenstelsel van genomen preventieve, repressieve en detectieve maatregelen maakt de graad van waarschijnlijkheid steeds groter dat de in de logging geregistreerde gegevens correct zijn. 100% waterdicht bewijs kom je niet gauw tegen, het ligt meer in de combinatie van bewijzen die samen het belastend materiaal vormen.

Betekent deze verdieping in de techniek dat het een geaccepteerd risico is dat een gebruiker het niet hoeft te hebben gedaan, ook al is het met two-factor authentication ingelogd? Daar zie ik meer gevaar in schuilen dan in de kans dat een medewerker twee pc's in kantoortijd open gaat slopen, processoren gaat verwisselen, het risico neemt dat de portsecurity aanslaat en hem afsluit van het netwerk, etc. Op een van de andere blogs is een discussie geweest over het toepassen van sociale controle als beveiligingsmaatregel. Ondanks mijn standpunt (het is niet structureel bruikbaar) zie ik die sociale controle vanuit het aanvalsoogpunt toch als een serieus risico!

toch is dit leuk materiaal voor een discussie!

5. Alf - juni 15, 2006

Bottom line: Je kan geen altijd-waterdicht-digitaal-bewijs-verzamelaar-voor-alle-situaties-en-eeuwig-in-de-tijd maken. Bij gebruik van een systeem moet je aannemelijk kunnen maken wie de gebruiker was. Zelfs al heb je een intraveneuze koppeling met de gebruiker dan ngo weet je niet of ie een pistool tegen zijn hoofd had.
Ja, je moet redelijk zeker weten wie achter de knoppen zit, ja, je wil zo veel mogelijk technische materiaal verzamelen, maar doordat je dit doet, en doordat iedereen weet dat je dit doet, daardoor zal bekend zijn dat de PAKKANS groot is en gaat er een enorme preventieve werkig van uit. net zo iets als sociale controle in real life.

6. Gertjan - juni 16, 2006

@Alf: De schrijvers van de Code voor Informatiebeveiliging:2000 deel 1 hebben de dreiging van het onder dwang verkregen toegang ondervangen in §9.5.6: Stil alarm ter bescherming van gebruikers.

[quote]
Het gebruik van een stil alarm om onder dwang verkregen toegang te signaleren dient te worden overwogen voor gebruikers die de kans lopen het doelwit te worden van dwang of bedreiging. De beslissing om een dwangalarm te gebruiken dient te zijn gebaseerd op een risicoanalyse. Er dienen verantwoordelijkheden en procedures te worden gedefinieerd voor het reageren op een stil alarm.
[/quote]

Met het tweede deel van je analyse ben ik het helemaal eens.

7. Wilbert - juni 17, 2006

Maar voor de preventieve werking zal two-factor authenticatie misschien al genoeg zijn (en circeltje is weer rond ;-).

btw, type gedrag van individuen kan ook gebruikt worden om individuen te indentificeren (wordt al gebruikt in zelf management tools voor password resets).


Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: