jump to navigation

RIVEO september 23, 2007

Posted by Gertjan in Forensisch Informatie Systeem.
1 comment so far

RIVEO, regelset informatie verzameling en opslag. De basis van het FIS. En onderwerp van mijn afstudeerscriptie. Als je meer wilt weten, volg dan mijn nieuwe weblog op riveo.blogspot.com.

Advertenties

Tegenbewegingen december 17, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Tegen.
add a comment

De afgelopen weken hebben zich diverse uitingen in de media voorgedaan, die de tegengestelde stromingen rond de privacy en de bescherming ervan als hun kern hebben. Hieronder een (onvolledige) samenvatting.

Na de uiting van protest tegen de oprukkende ID-plicht (Tony Blair afgebeeld met een barcodesnor) nu een praktische oplossing om meekijkers te frustreren. Psiphon is een methode om het meekijken door overheden bij internetgebruik te beperken. Het is een sociaal virtual private netwerk, dat alleen versleuteld dataverkeer verstuurd. Door een Psiphon node te gebruiken kun je anoniem (jouw IP-adres wordt afgeschermd) gebruik maken van Internet.

Aan de andere kant maken de technologische ontwikkelingen en gadgets het ook wel heel erg aantrekkelijk om jezelf volgbaar te maken. Nike heeft een mooie toepassing door met behulp van RFID technologie en een koppeling met de Apple iPod je gelopen route op te slaan. Deze route is ook zichtbaar te maken op googlemaps/googleearth. Ook al ontdekt door Bruce Schneier (cryptogram 15 december 2006).

De Vrije Universiteit heeft een prijs gewonnen met de persoonlijke antiRFID-wolk, de RFID Guardian.
Dit is een handzaam batterij gevoed apparaat dat het gebruik van RFID monitort en reguleert, waarbij de gebruiker zelf kan bepalen welke en of zijn RFID tags mogen worden uitgelezen. Meer informatie hier.

Aan de ene kant is de gemeenschap druk bezig zijn privacy (welke privacy?) te verkwanselen via de politiek die het tij mee heeft en schermt met terroristische dreigingen (Britten geloofden niet in de WoMD van Irak). Aan de andere kant zijn het de ontwikkelaars en fabrikanten die de mooiste producten ontwikkelen zonder ook maar een stap verder te kijken dan hun neus lang is (schoenen en MP3 spelers).

Auto FIS november 10, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Tegen.
add a comment

Een artikel op nu.nl over automatische kentekencontroles die steeds uitgebreider worden.  Niet alleen de politieregisters maar ook andere databanken worden geraadpleegd.
Dit gaat nog een stap verder dan waar het FIS voor is beschreven – dat beperkt zich tot registratie en opslag, met mogelijk achteraf een gerichte informatievraag.

Bij de beschreven controle is iedereen verdacht – totdat hij niet in de databases voorkomt. Dit vraagt veel van de kwaliteit van de in de database opgeslagen gegevens, vooral false positives zullen veel problemen voor de vermeende verdachte genereren.

Een argument om de verzamelde gegevens op deze wijze in te zetten is dat het altijd al zo werd gedaan, maar dat het meer inzet van de opsporingsdiensten vergde. Als tegenargument kun je dan stellen dat er ook meer ogen keken naar de verzamelde informatie, waardoor iedere “hit” meerdere malen getoetst werd. Dit verhoogt de kwaliteit van het onderzoek, omdat er niet slechts op basis van geautomatiseerde gegevensverzamelingen een beslissing wordt genomen. De factor mens had in de oude situatie op voorhand nog een belangrijke functie – beoordelen van het aangeboden resultaat.

Politieke FIS (2) november 7, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

In deze roerige tijden voor de verkiezingen doen veel politieke partijen wilde beloften om stemmen te winnen. Rechtse partijen zijn de mening toegedaan dat het recht op privacy minder zwaar weegt dan een veilige samenleving.

Andere punten leidden tot meer discussie. Zo vinden VVD, CDA en SGP het een goed idee om biometrische gegevens van burgers, zoals vingerafdrukken, in een centrale database op te slaan. “Een veilige samenleving moet hier zwaarder wegen dan de privacywaarborgen,” zegt bijvoorbeeld SGP-leider Bas van der Vlies. De SP, GroenLinks en ChristenUnie zijn tegen, en ook de twijfelende PvdA neigt tot een ‘nee’.
bron

Hierbij kun je je afvragen hoe dan de veiligheid is geregeld van die hele grote database met de biometrische gegevens van de burgers. Of hoe fouten in het systeem worden voorkomen of gedetecteerd. Onder welke omstandigheden mag de database worden geraadpleegd, en hoe controleer je dat dit op de juiste wijze gebeurd? Wat is het beoogde doel van de database? Opsporen van misdadigers? Hoe wordt omgegaan met false positives (door fouten in de database)? In hoeveel zaken heeft het gebruik van biometrische gegevens tot oplossing van de zaak of tot veroordeling (of vrijwaring) van een persoon geleid?

De maagd “Privacy” is allang geen maagd meer, maar moet zij nog verder worden misbruikt? Waarom geven de voorstanders van dit plan niet onomwonden aan wat de redenen zijn van het aanleggen en gebruiken van een dergelijke kwetsbare (uit meerdere standpunten bezien) database? Is dat omdat het niet goed staat in de verkiezingsprogramma’s dat de landelijke politieke machthebbers hun kiezers niet vertrouwen?

link

De stand van zaken – september 2006 oktober 11, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Inleiding
Bij het volgen van de huidige ontwikkelingen tekenen zich twee trends af. Steeds meer hiaten in de vergaring van informatie ten behoeve van het FIS worden zichtbaar en enkele ervan worden zelfs ingevuld. Daarnaast wordt in een informele tegenbeweging een variant op het FIS ontwikkeld. Hierbij wordt geen rekening gehouden met de in een eerder stadium geformuleerde eisen en wensen ten aanzien van de privacybescherming en forensische bruikbaarheid van de vergaarde gegevens.

Hiaten in FIS
Bij forensisch onderzoek is veel af te lezen uit het geheugen van een (al of niet) gecompromitteerde computer. Vooral bij servers is dit het geval, omdat die minder vaak worden herstart dan bij een personal computer of werkstation het geval is. FIS voorziet vooralsnog niet in de mogelijkheid om op regelmatige basis een memorydump van het servergeheugen te maken en dit op forensisch betrouwbare wijze weg te schrijven.

Nieuwe onderdelen van FIS
In de laatste weken is duidelijk geworden dat voorzichtig moet worden omgegaan met oude hardware. De kennis van deze systemen in relatie tot het toegankelijk houden van gegevens moet op peil worden gehouden. Tevens moet worden nagedacht over de wijze waarop informatie op oude datadragers benaderbaar blijft.

VOIP FIS oktober 11, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Technisch.
add a comment

Het FIS kan verder worden uitgebreid nu de firma ERA IT Solutions AG uit Zwitserland software heeft ontwikkeld die, geïnstalleerd op de pc’s van de communicatiepartners, VOIP verkeer kan afluisteren. Heise security geeft nadere informatie over de programmatuur. Op de site van The Register staan andere relevante verwijzingen.

Het FIS komt dichterbij oktober 7, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment


Een FIS kan op verschillende manieren worden ontwikkeld. Dit blog is een van de manieren: nadenken over de verschillende eisen en wensen die aan het FIS gesteld worden, redenerend vanuit privacy aspecten, business aspecten of vanuit de forensische hoek. Een andere wijze, die veel dichterbij is dan we ons realiseren, is de volgende.

Het FIS kan ook worden gevormd door de koppeling van identity management (IdM)1 en SIEM2 in de CMDB3. De aanleiding hiervoor komt niet uit de forensische hoek, maar vanwege de regulatory compliance verplichtingen. Dat wil zeggen dat eerst de grotere bedrijven, die in Amerika aan de beurs staan genoteerd, hiertoe overgaan. Zij zijn door wet en regelgeving gehouden veel informatie enkele jaren (tussen de 7 en 20 jaar) op te slaan en toegankelijk te houden. Dit houdt tevens in dat het ook in Europa en Nederland eerder ingevoerd kan zijn dan men verwacht.

De risico’s hiervan zitten in het feit dat bij de invoering van deze koppelingen vanuit de business wordt geredeneerd en de informatiebeveiligingsaspecten (waaronder privacy bescherming) niet worden meegenomen. Pas bij de confrontatie met een informatievraag van een opsporingsinstantie zal blijken dat er veel meer informatie beschikbaar is dan werd verwacht. Dit is mijns inziens een insteek vanaf de verkeerde zijde.

Door op gecontroleerde wijze een FIS te ontwikkelen, met toetsing van de juistheid op juridische gronden en met in achtneming van de forensische eisen en wensen, zal er een informatiesysteem ontstaan dat op de lange termijn veel beter bruikbaar is. Daarnaast zal een correct ontwikkeld FIS ook om kunnen gaan met de vragen uit het vorige artikel, zoals hoe om moet worden gegaan met nu bekende kwetsbaarheden in oude programmatuur en het teruglezen van verouderde datadragers in een moderne ICT omgeving.

1 Identity management (IdM) is het proces waarin het beheer van gebruikersaccounts plaatsvind. Zowel de identificatie als de authenticatie wordt hierin geregeld, nadat de autorisaties eenmalig zijn toegekend. Ook het bijhouden van een account-history is een onderdeel van het IdM proces.

2 SIEM staat voor Security Information & Event Management. In dit door software ondersteunde proces wordt beveiligingsgerelateerde informatie op een centrale server verzameld, beoordeeld en weggeschreven. In het triageproces, dat hier onderdeel van is, wordt bepaald of er aanvullende maatregelen nodig zijn om een van tevoren gedefinieerd incident te behandelen.

3 In de Configuration Management Database (CMDB) worden alle kenmerken van configuration Items (CI’s) vastgelegd. Hierbij kan worden gedacht aan hardware en software, maar ook aan protocollen, verplichte routes, accounts, toegangstijden, poorten, configuraties, en dergelijke.

Oude FIS oktober 7, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Een van de vragen die bij het hebben en onderhouden van een FIS een rol speelt is de volgende: Hoe kun je de historische data bruikbaar houden. Want wat heb je aan een grote hoeveelheid data die niet meer ingelezen kan worden, bijvoorbeeld omdat het formaat waarin de gegevens zijn opgeslagen niet meer ondersteund wordt. Ook is het mogelijk dat de datadragers waarop de gegevens zijn opgeslagen niet meer uitgelezen kunnen worden omdat de apparatuur verouderd is.

Naast de (buitenlandse) wet en regelgeving die onder bepaalde omstandigheden organisaties dwingt gegevens meerdere jaren te bewaren, kunnen er ook praktische redenen zijn om FIS data te willen raadplegen. Bijvoorbeeld bij forensisch onderzoek, om na te gaan of geconstateerde overtredingen ook langere tijd geleden al hebben plaatsgevonden.

In het belang van het onderzoek en voor het correct nakomen van de forensische aspecten (onder meer de herhaalbaarheid van de bevindingen) is het noodzakelijk dat de grote hoeveelheid gegevens in het FIS beheersbaar is. De toegang tot de gegevens moet gewaarborgd zijn, bijvoorbeeld door beheerprogrammatuur. Ook na 7 of 10 jaar moeten gegevens benaderbaar blijven.

Dat betekent dat er bij onderzoek in oude gegevens aanvullende eisen gesteld worden:

  • datadragers moeten leesbaar zijn
  • uitleesapparatuur moet beschikbaar zijn
  • gegevens moeten vindbaar zijn

Ook bij minder exotische voorbeelden speelt het leesbaar hebben en houden van gegevens een rol. Veel opslagprogrammatuur (backup-programmatuur) verandert in de loop van de tijd het opslagalgoritme. Garanties dat oude datadragers met de nieuwe programmatuur nog steeds leesbaar zijn en dat ook blijven (backwards compatability) worden niet altijd gegeven. Bij de aanschaf of vervanging van hardware en software moet ook hier rekening worden gehouden met de leesbaarheid in de toekomst van gegevens uit het verleden. Bijvoorbeeld door het aanhouden van een ICT museum met apparatuur die de oude tapes en schijven nog kan lezen.

Vluchtige FIS september 25, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Forensisch onderzoek in geheugen op servers kan veel relevante informatie opleveren voor forensisch onderzoek, evenals het onderzoek van geheugen uit live systemen, (die gaan niet uit) en op live systemen.

Is dit correct om te doen in het kader van het FIS, is het uitvoerbaar op een client-server omgeving, of moet je hiervoor naar een thinclient omgeving?

Wellicht is het voor een FIS praktischer om te werken vanuit een thinclient omgeving. Hierbij wordt op een centrale server(farm) gewerkt en gaat er slechts KVM informatie over de (versleutelde) lijn. Mogelijk zullen omgevingen waar sterke behoefte bestaat aan een FIS overgaan tot het thinclient principe. Vaak was dit al functioneel zo ingeregeld door bijvoorbeeld, via mandatory policies aangevuld met discretionary policies, de functionaliteit op de werkplekken te beperken. Vanuit kostenoogpunt bekeken is het dan praktisch over te gaan tot een centrale verwerking. Hiervoor is aan de clientzijde minder zware hardware nodig, die ook nog eens veel minder kwetsbaar is voor fouten in het besturingssysteem.
Daarnaast is het forensisch pragmatisch om alles centraal op te slaan, zelfs het klembord draait op de server. Memory dumps waar forensisch relevant materiaal in staat kunnen relatief eenvoudig worden opgeslagen en bestudeerd.

In hoeverre dit haalbaar is in het kader van het FIS vraag ik mij af – technisch vraagt dit nogal wat inspanningen om memory dumps regelmatig te maken en structureel veilig op te slaan. Daarnaast ben ik ook benieuwd of hiermee de grenzen met de Wbp en de EVRM niet worden overschreden. Effectief komt dit neer op een continue bespionering van medewerkers – immers, vrijwel iedere toetsaanslag wordt geregistreerd. Onder bijzondere omstandigheden zal men hiermee akkoord gaan, maar voor dagelijks gebruik gaat deze wijze van registratie echt te ver, zelfs als de medewerkers op voorhand worden geinformeerd.

Groeiende FIS september 18, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Nieuwe ontwikkelingen op het gebied van software en communicatie brengen nieuwe mogelijkheden voor gebruikers om te communiceren met de buitenwereld, zonder dat er invloed of controle kan worden uitgeoefend op de inhoud van de datastromen. Hierbij gaat het bijvoorbeeld om VOIP (Voice over IP, zoals Skype), IM (instant messaging, zoals MSN e.d.) en VPN (Virtual Private Network) technieken, waarbij een tunnel met een server aan de buitenzijde (buiten de corporate firewall) wordt opgebouwd. Daarnaast ontstaat binnen bedrijven de behoefte aan beveiligd intern verkeer, tussen applicaties of tussen servers. Dit wordt mede ingegeven door de toenemende mate van samenwerking met andere organisaties. Een bedrijf heeft dan een sterkere behoefte aan veilige interne communicatie, waar zeker geen derden bij kunnen meekijken.

Een FIS moet in deze veranderende behoeften kunnen voorzien en zonder al te veel moeite hierop kunnen inspelen. Dat wil zeggen dat de FIS applicatie eenvoudig schaalbaar moet zijn en de registratie van nieuwe communicatiestromen snel moet kunnen borgen.

Voor server2server communicatie hoeft dit technisch niet ingewikkeld te zijn: een (software)node op de server voordat de encryptie plaatsvind zou al genoeg zijn. Bij end2end versleutelde verbindingen (zoals VOIP) moeten er structurele veranderingen worden aangebracht. Tot op heden is bij het ontwerp van het FIS uitgegaan van centrale logging op de centrale servers. Dit was ook het geval bij e-mail, hierbij wordt tenslotte gebruik gemaakt van een of meer centrale mailservers.

Bij VOIP betreft het een veel op veel relatie, waarbij iedere interne gebruiker verbinding kan maken met iedere eveneens interne maar ook externe gebruiker. Als hierbij gebruik wordt gemaakt van een centrale (corporate) server (PABX?) is er geen significante wijziging in het FIS nodig. Indien de communicatieserver buiten de eigen omgeving staat, zoals bij Skype het geval is, veranderd het beeld geheel. Eigenlijk heeft een organisatie maar twee mogelijkheden: Skype (en soortgelijke protocollen) verbieden en een controle op naleving van dit verbod uitvoeren, of VOIP inbouwen in het FIS. Omdat een Skype-verbinding (en andere VOIP protocollen) bij de eindgebruiker begint met het opbouwen van een versleutelde tunnel, waarna de communicatie – nogmaals versleuteld – wordt uitgevoerd, is centrale FIS logging niet haalbaar (en in ieder geval niet leesbaar).

Op de werkstations bij de eindgebruiker zal een aansluiting voor het FIS moeten worden aangelegd. Hierdoor wordt het mogelijk vast te leggen welke gebruiker met wie (intern of extern) een communicatieverbinding heeft opgezet, op welk tijdstip en hoe lang deze verbinding bleef bestaan.

Inhoudelijke logging van het verkeer is onderhevig aan de Wbp, hetgeen in eerdere artikelen op dit blog uitgebreid is besproken.