Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS ”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker”

Liknende presentasjoner


Presentasjon om: "The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS ”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker”"— Utskrift av presentasjonen:

1 The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS ”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker”

2 Electronic traces = evidence ? Digitale bevis følger samme standard som andre bevis. De må være: Autentiske (ekte) Nøyaktige/korrekte fullstendige Overbevisende for en domstol I overenstemmelse med gjeldende lover og regler, m.a.o tillat å føre som bevis Digitale bevis er nyttige og ofte helt avgjørende ved saksføring og vitneforklaringer i rettstivster hva har skjedd hvem er ansvarlig Dokumenterte metoder og prosesser (chain of custody) Resultatet må holde rettslig standard

3 our scenario 1.Datasikring utføres på involvert datautstyr (tilhørende firmaet) 2.Analyse av kompromittert utstyr, finne ut hva som faktisk har skjedd 3.Produsere og presentere dokumentasjon for kunde

4 1: Analysis of servers Webtjener med ulovlig innhold, spor i loggfiler viser ip- adressen til hjemme-pc (VPN NAT pool adresse) Filserver viser et stort antall filreferanser som er Kopiert og slettet på et bestemt tidspunkt Epost server viser en del kommunikasjon fra denne ip- adressen på samme Tidspunkt Kopi av sensitive dok. Funnet på hjemme-pc brukers omr. på filserver

5 1: Analysis of server Bruker var ikke på kontoret (sjekk av adgangskontroll) da dette skjedde – var bruker på hjemmekontoret ? Analyse av logger fra domenepålogging, DHCP lease og VPN server viser at bruker var pålogget via VPN på aktuelle tidspunkt

6 2: analysis of computer Data fra hjemme-pc sikres for analyse Bruker innrømmer å ha vært hjemme og at maskinen har vært online i aktuelt tidsrom Analysen konsentreres nå om å finne elektroniske spor som bekrefter at hjemme-pc er kilden for de hendelser vi har dokumentert på server. Finnes det noen spor som kan knytte bruker til hendelsen eller kan maskinen være hacket slik bruker påstår ?

7 Windows OS logger default veldig lite. Std. eventlogger viser ikke noe spesielt, men vi merker oss alarm/feil/advarsel på NAV En nærmere sjekk viser at NAV har detektert en trojaner uten å kunne fjerne viruset Et rootkit ser ut til å være installert. Ved hjelp av software utføres: - MD5 hash & filsignatur sammenligning - ser etter filer brukt el. modifisert av et rootkit - skjulte filer - skanner innhold i tekst og binærfiler Dette er et nytt spor som kanskje fritar bruker av hjemmepc fra mistanke 2: analysis of computer

8 Internett Hypotesen vi jobber etter nå er at maskinen er hacket, og benyttet som en kilde for angrepet for å skjule hackers virkelige identitet Server Hjemmepc bedrift 3: Hypothesis VPN

9 InternettISP kan dokumentere mye unormal trafikk til pc. Dette kommer fra en bestemt ip-adresse Både ISP og et oppslag i en Whois database bekrefter at adressen tilhører et ip-nett i Sverige Vi kontakter denne ISP’n og får opplyst at adressen tilhører en proxy server 4: Tracking the Internet Her stopper ofte en privat etterforskning da vi ikke har myndighet til å hente ut disse loggene.

10 Nå har vi to elektroniske spor som peker tilbake på samme kilde – hackeren kan sirkles inn 4: Tracking the Internet En sammenligning av logger viser at det finnes spor etter samme proxy-adresse i bedriftens egne logger Kilde-ip fører oss tilbake til en linux maskin i Norge (samme som i foredrag 1) Administrator på proxy’en kan spore opprinnelig kilde og utlevere loggen (politiet har myndighet til dette)

11 4: tracking the Internet Det finnes heller ingen spor etter aktivitetene som ble utført på bedriftens server. Ingen kopier av fildata eller andre spor kan bevise en slik kobling Maskinen beslaglegges og analyseres Det blir funnet spor etter overvåking og kartlegging av hjemmepc’en Et spor viser at en anonym proxytjeneste har vært benyttet til å aksessere en åpen port på hjemmepc’en Hackerverktøyene som ble funnet på hjemmepc’en finnes det ingen spor etter på denne maskinen

12 5: Report and documentation Vår rapport vil dokumentere de elektroniske sporene vi har samlet inn. De elektroniske sporene bekrefter hypotesen vi har jobbet etter. Vi har ”chain of evidence” som ser ut til å knytte linux maskinen til skadeverket, men det er for mange løse tråder til å trekke en entydig konklusjon Ibas har nå etterforsket og presentert de elektroniske sporene i denne saken. Neste trinn blir i samråd med advokaten å finne ut hva som skal gjøres videre

13


Laste ned ppt "The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS ”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker”"

Liknende presentasjoner


Annonser fra Google