jump to navigation

De stand van zaken – september 2006 oktober 11, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Inleiding
Bij het volgen van de huidige ontwikkelingen tekenen zich twee trends af. Steeds meer hiaten in de vergaring van informatie ten behoeve van het FIS worden zichtbaar en enkele ervan worden zelfs ingevuld. Daarnaast wordt in een informele tegenbeweging een variant op het FIS ontwikkeld. Hierbij wordt geen rekening gehouden met de in een eerder stadium geformuleerde eisen en wensen ten aanzien van de privacybescherming en forensische bruikbaarheid van de vergaarde gegevens.

Hiaten in FIS
Bij forensisch onderzoek is veel af te lezen uit het geheugen van een (al of niet) gecompromitteerde computer. Vooral bij servers is dit het geval, omdat die minder vaak worden herstart dan bij een personal computer of werkstation het geval is. FIS voorziet vooralsnog niet in de mogelijkheid om op regelmatige basis een memorydump van het servergeheugen te maken en dit op forensisch betrouwbare wijze weg te schrijven.

Nieuwe onderdelen van FIS
In de laatste weken is duidelijk geworden dat voorzichtig moet worden omgegaan met oude hardware. De kennis van deze systemen in relatie tot het toegankelijk houden van gegevens moet op peil worden gehouden. Tevens moet worden nagedacht over de wijze waarop informatie op oude datadragers benaderbaar blijft.

Advertenties

VOIP FIS oktober 11, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Technisch.
add a comment

Het FIS kan verder worden uitgebreid nu de firma ERA IT Solutions AG uit Zwitserland software heeft ontwikkeld die, ge├»nstalleerd op de pc’s van de communicatiepartners, VOIP verkeer kan afluisteren. Heise security geeft nadere informatie over de programmatuur. Op de site van The Register staan andere relevante verwijzingen.

Het FIS komt dichterbij oktober 7, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment


Een FIS kan op verschillende manieren worden ontwikkeld. Dit blog is een van de manieren: nadenken over de verschillende eisen en wensen die aan het FIS gesteld worden, redenerend vanuit privacy aspecten, business aspecten of vanuit de forensische hoek. Een andere wijze, die veel dichterbij is dan we ons realiseren, is de volgende.

Het FIS kan ook worden gevormd door de koppeling van identity management (IdM)1 en SIEM2 in de CMDB3. De aanleiding hiervoor komt niet uit de forensische hoek, maar vanwege de regulatory compliance verplichtingen. Dat wil zeggen dat eerst de grotere bedrijven, die in Amerika aan de beurs staan genoteerd, hiertoe overgaan. Zij zijn door wet en regelgeving gehouden veel informatie enkele jaren (tussen de 7 en 20 jaar) op te slaan en toegankelijk te houden. Dit houdt tevens in dat het ook in Europa en Nederland eerder ingevoerd kan zijn dan men verwacht.

De risico’s hiervan zitten in het feit dat bij de invoering van deze koppelingen vanuit de business wordt geredeneerd en de informatiebeveiligingsaspecten (waaronder privacy bescherming) niet worden meegenomen. Pas bij de confrontatie met een informatievraag van een opsporingsinstantie zal blijken dat er veel meer informatie beschikbaar is dan werd verwacht. Dit is mijns inziens een insteek vanaf de verkeerde zijde.

Door op gecontroleerde wijze een FIS te ontwikkelen, met toetsing van de juistheid op juridische gronden en met in achtneming van de forensische eisen en wensen, zal er een informatiesysteem ontstaan dat op de lange termijn veel beter bruikbaar is. Daarnaast zal een correct ontwikkeld FIS ook om kunnen gaan met de vragen uit het vorige artikel, zoals hoe om moet worden gegaan met nu bekende kwetsbaarheden in oude programmatuur en het teruglezen van verouderde datadragers in een moderne ICT omgeving.

1 Identity management (IdM) is het proces waarin het beheer van gebruikersaccounts plaatsvind. Zowel de identificatie als de authenticatie wordt hierin geregeld, nadat de autorisaties eenmalig zijn toegekend. Ook het bijhouden van een account-history is een onderdeel van het IdM proces.

2 SIEM staat voor Security Information & Event Management. In dit door software ondersteunde proces wordt beveiligingsgerelateerde informatie op een centrale server verzameld, beoordeeld en weggeschreven. In het triageproces, dat hier onderdeel van is, wordt bepaald of er aanvullende maatregelen nodig zijn om een van tevoren gedefinieerd incident te behandelen.

3 In de Configuration Management Database (CMDB) worden alle kenmerken van configuration Items (CI’s) vastgelegd. Hierbij kan worden gedacht aan hardware en software, maar ook aan protocollen, verplichte routes, accounts, toegangstijden, poorten, configuraties, en dergelijke.

Oude FIS oktober 7, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Een van de vragen die bij het hebben en onderhouden van een FIS een rol speelt is de volgende: Hoe kun je de historische data bruikbaar houden. Want wat heb je aan een grote hoeveelheid data die niet meer ingelezen kan worden, bijvoorbeeld omdat het formaat waarin de gegevens zijn opgeslagen niet meer ondersteund wordt. Ook is het mogelijk dat de datadragers waarop de gegevens zijn opgeslagen niet meer uitgelezen kunnen worden omdat de apparatuur verouderd is.

Naast de (buitenlandse) wet en regelgeving die onder bepaalde omstandigheden organisaties dwingt gegevens meerdere jaren te bewaren, kunnen er ook praktische redenen zijn om FIS data te willen raadplegen. Bijvoorbeeld bij forensisch onderzoek, om na te gaan of geconstateerde overtredingen ook langere tijd geleden al hebben plaatsgevonden.

In het belang van het onderzoek en voor het correct nakomen van de forensische aspecten (onder meer de herhaalbaarheid van de bevindingen) is het noodzakelijk dat de grote hoeveelheid gegevens in het FIS beheersbaar is. De toegang tot de gegevens moet gewaarborgd zijn, bijvoorbeeld door beheerprogrammatuur. Ook na 7 of 10 jaar moeten gegevens benaderbaar blijven.

Dat betekent dat er bij onderzoek in oude gegevens aanvullende eisen gesteld worden:

  • datadragers moeten leesbaar zijn
  • uitleesapparatuur moet beschikbaar zijn
  • gegevens moeten vindbaar zijn

Ook bij minder exotische voorbeelden speelt het leesbaar hebben en houden van gegevens een rol. Veel opslagprogrammatuur (backup-programmatuur) verandert in de loop van de tijd het opslagalgoritme. Garanties dat oude datadragers met de nieuwe programmatuur nog steeds leesbaar zijn en dat ook blijven (backwards compatability) worden niet altijd gegeven. Bij de aanschaf of vervanging van hardware en software moet ook hier rekening worden gehouden met de leesbaarheid in de toekomst van gegevens uit het verleden. Bijvoorbeeld door het aanhouden van een ICT museum met apparatuur die de oude tapes en schijven nog kan lezen.