Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS

PublisertMona Martinsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS"— Utskrift av presentasjonen:

1 The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS
”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker” Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS

2 Electronic traces = evidence ?
Digitale bevis følger samme standard som andre bevis. De må være: Autentiske (ekte) Nøyaktige/korrekte fullstendige Overbevisende for en domstol I overenstemmelse med gjeldende lover og regler, m.a.o tillat å føre som bevis The goal of computer forensics is to do a structured investigation and find out exactly what happened on a digital system, and who was responsible for it. Chain of Custody er en rettslig betegnelse som refererer til evnen til å garantere identitet og integritet til objektet fra innsamling til rapportering av resultat Digitale spor - Alt som utføres på en PC setter spor på harddisken. - Sporene forsvinner ikke selv om filer slettes - flyktige data kan finnes i RAM - all Analysen - beviskilder oppspores - mulighetsfase: elementer ingen hadde tenkt på kan snu hele saken Dokumentere metode og prosesser (chain of custody) - Resultatet holder rettslig standard MD5 hash av medier og filer Digitale bevis er nyttige og ofte helt avgjørende ved saksføring og vitneforklaringer i rettstivster hva har skjedd hvem er ansvarlig Dokumenterte metoder og prosesser (chain of custody) Resultatet må holde rettslig standard

3 our scenario Datasikring utføres på involvert datautstyr (tilhørende firmaet) Analyse av kompromittert utstyr, finne ut hva som faktisk har skjedd Produsere og presentere dokumentasjon for kunde Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre en uavhengig etterforskning dd if=/dev/EvidenceDriveAndPartitionNum of=/Path/to/SomeImageFileName

4 1: Analysis of servers Webtjener med ulovlig innhold, spor i loggfiler viser ip- adressen til hjemme-pc (VPN NAT pool adresse) Filserver viser et stort antall filreferanser som er Kopiert og slettet på et bestemt tidspunkt Epost server viser en del kommunikasjon fra denne ip- adressen på samme Tidspunkt Kopi av sensitive dok. Funnet på hjemme-pc brukers omr. på filserver Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette kan bekrefte IT-admin sin antydning)

5 1: Analysis of server Bruker var ikke på kontoret (sjekk av adgangskontroll) da dette skjedde – var bruker på hjemmekontoret ? Analyse av logger fra domenepålogging, DHCP lease og VPN server viser at bruker var pålogget via VPN på aktuelle tidspunkt Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette bekrefter IT-admin sin antydning) Bruker har en sonicwall vpnboks og åpner automatisk ved forsøk på aksess mot bedriftens ressurser

6 2: analysis of computer Data fra hjemme-pc sikres for analyse
Bruker innrømmer å ha vært hjemme og at maskinen har vært online i aktuelt tidsrom Analysen konsentreres nå om å finne elektroniske spor som bekrefter at hjemme-pc er kilden for de hendelser vi har dokumentert på server. Finnes det noen spor som kan knytte bruker til hendelsen eller kan maskinen være hacket slik bruker påstår ? Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette bekrefter IT-admin sin antydning)

7 2: analysis of computer Windows OS logger default veldig lite. Std. eventlogger viser ikke noe spesielt, men vi merker oss alarm/feil/advarsel på NAV En nærmere sjekk viser at NAV har detektert en trojaner uten å kunne fjerne viruset Et rootkit ser ut til å være installert. Ved hjelp av software utføres: - MD5 hash & filsignatur sammenligning - ser etter filer brukt el. modifisert av et rootkit - skjulte filer - skanner innhold i tekst og binærfiler Dette er et nytt spor som kanskje fritar bruker av hjemmepc fra mistanke MD5 hash compare - Look for default files used by rootkits - Wrong file permissions for binaries - Look for suspected strings in LKM and KLD modules - Look for hidden files - Optional scan within plaintext and binary files

8 3: Hypothesis Internett
bedrift Internett VPN Server Hjemmepc Hypotesen vi jobber etter nå er at maskinen er hacket, og benyttet som en kilde for angrepet for å skjule hackers virkelige identitet En bankraner bruker en stjålet fluktbil for å skjule sine spor

9 4: Tracking the Internet
ISP kan dokumentere mye unormal trafikk til pc. Dette kommer fra en bestemt ip-adresse Både ISP og et oppslag i en Whois database bekrefter at adressen tilhører et ip-nett i Sverige Vi kontakter denne ISP’n og får opplyst at adressen tilhører en proxy server Internett Regjeringen ønsker å kreve at tele- og internett-levernadørene skal lagre data fra tele og Internett-trafikk i et helt år, opp fra dagens tre måneder. A proxy is like a middle man between you and what you connect to, that fakes your identity. When using the proxy, others will not be able to gather accurate information on your connection. Her stopper ofte en privat etterforskning da vi ikke har myndighet til å hente ut disse loggene.

10 4: Tracking the Internet
En sammenligning av logger viser at det finnes spor etter samme proxy-adresse i bedriftens egne logger Administrator på proxy’en kan spore opprinnelig kilde og utlevere loggen (politiet har myndighet til dette) Kilde-ip fører oss tilbake til en linux maskin i Norge (samme som i foredrag 1) Dette er en veldig vanlig måte å felle for eksempel hackere som defacer websider. De sjekker ofte målet før de slår til og så sjekker de målet etterpå for å se på resultatet. S Nå har vi to elektroniske spor som peker tilbake på samme kilde – hackeren kan sirkles inn

11 4: tracking the Internet
Maskinen beslaglegges og analyseres Det blir funnet spor etter overvåking og kartlegging av hjemmepc’en Et spor viser at en anonym proxytjeneste har vært benyttet til å aksessere en åpen port på hjemmepc’en Hackerverktøyene som ble funnet på hjemmepc’en finnes det ingen spor etter på denne maskinen Det finnes heller ingen spor etter aktivitetene som ble utført på bedriftens server. Ingen kopier av fildata eller andre spor kan bevise en slik kobling Anonyme proxier kan ikke verifiseres Skriptkiddie inst. Hackerverktøy -> kan ikke bevise kobling mellom skriptkiddie og linuxmaskin Anonymous proxies destroys information about your computer in the requests header. So you can safely surf the net and your information will never be used by hackers and spammers

12 5: Report and documentation
Vår rapport vil dokumentere de elektroniske sporene vi har samlet inn. De elektroniske sporene bekrefter hypotesen vi har jobbet etter. Vi har ”chain of evidence” som ser ut til å knytte linux maskinen til skadeverket, men det er for mange løse tråder til å trekke en entydig konklusjon Er det flere elementer vi ikke har vudert ? Vitenprov Andre maskiner Ibas har nå etterforsket og presentert de elektroniske sporene i denne saken. Neste trinn blir i samråd med advokaten å finne ut hva som skal gjøres videre

13

Laste ned ppt "The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS"

Liknende presentasjoner

Dette er en PowerPoint-presentasjon

Dette er en PowerPoint-presentasjon
TCP/IP-modellen.

TCP/IP-modellen.
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
Hvordan etablere nettbutikk med GoOnline Commerce

Hvordan etablere nettbutikk med GoOnline Commerce
Overgrep på eldre på institusjon

Overgrep på eldre på institusjon
Kapittel 8: Nettverk i praksis

Kapittel 8: Nettverk i praksis
Visma KGV (Konkurranse Gjennomføring Verktøy)

Visma KGV (Konkurranse Gjennomføring Verktøy)
Uni Eiendom FDV Veien videre

Uni Eiendom FDV Veien videre
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.

Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?

Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
04.07.2014MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”

MS kap 61 Nye trender  Vi skal se på  Virtualisering  ”Cloud computing”
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?

D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
Bruk og bevaring i kommunal saksbehandling

Bruk og bevaring i kommunal saksbehandling
IKA Opplandene Journalføring og arkivering av e-post, sms, e-skjema og noen utfordringer knytta til bruk av sosiale media sett fra arkivets side.

IKA Opplandene Journalføring og arkivering av e-post, sms, e-skjema og noen utfordringer knytta til bruk av sosiale media sett fra arkivets side.
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
Forside Korteste sti BFS Modifikasjon Dijkstra Eksempel Korrekthet Analyse Øving Spørsmål Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no.

Forside Korteste sti BFS Modifikasjon Dijkstra Eksempel Korrekthet Analyse Øving Spørsmål Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no.
23. januar 2004TDT4285 Planl&drift IT-syst1 Tjeneroppgraderinger TDT4285 Planlegging og drift av IT-systemer Anders Christensen, IDI.

23. januar 2004TDT4285 Planl&drift IT-syst1 Tjeneroppgraderinger TDT4285 Planlegging og drift av IT-systemer Anders Christensen, IDI.
EVALUERING AV PRODUKTER, PROSESSER OG RESSURSER. Gruppe 4 Remi Karlsen Stian Rostad Ivar Bonsaksen Jonas Lepsøy Per Øyvind Solhaug Andreas Tønnesen.

EVALUERING AV PRODUKTER, PROSESSER OG RESSURSER. Gruppe 4 Remi Karlsen Stian Rostad Ivar Bonsaksen Jonas Lepsøy Per Øyvind Solhaug Andreas Tønnesen.
Grunnleggende testteori

Grunnleggende testteori

Liknende presentasjoner

Annonser fra Google