The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS ”Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker” Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS

Electronic traces = evidence ? Digitale bevis følger samme standard som andre bevis. De må være: Autentiske (ekte) Nøyaktige/korrekte fullstendige Overbevisende for en domstol I overenstemmelse med gjeldende lover og regler, m.a.o tillat å føre som bevis The goal of computer forensics is to do a structured investigation and find out exactly what happened on a digital system, and who was responsible for it. Chain of Custody er en rettslig betegnelse som refererer til evnen til å garantere identitet og integritet til objektet fra innsamling til rapportering av resultat Digitale spor - Alt som utføres på en PC setter spor på harddisken. - Sporene forsvinner ikke selv om filer slettes - flyktige data kan finnes i RAM - all Analysen - beviskilder oppspores - mulighetsfase: elementer ingen hadde tenkt på kan snu hele saken Dokumentere metode og prosesser (chain of custody) - Resultatet holder rettslig standard MD5 hash av medier og filer Digitale bevis er nyttige og ofte helt avgjørende ved saksføring og vitneforklaringer i rettstivster hva har skjedd hvem er ansvarlig Dokumenterte metoder og prosesser (chain of custody) Resultatet må holde rettslig standard

our scenario Datasikring utføres på involvert datautstyr (tilhørende firmaet) Analyse av kompromittert utstyr, finne ut hva som faktisk har skjedd Produsere og presentere dokumentasjon for kunde Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre en uavhengig etterforskning dd if=/dev/EvidenceDriveAndPartitionNum of=/Path/to/SomeImageFileName

1: Analysis of servers Webtjener med ulovlig innhold, spor i loggfiler viser ip- adressen til hjemme-pc (VPN NAT pool adresse) Filserver viser et stort antall filreferanser som er Kopiert og slettet på et bestemt tidspunkt Epost server viser en del kommunikasjon fra denne ip- adressen på samme Tidspunkt Kopi av sensitive dok. Funnet på hjemme-pc brukers omr. på filserver Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette kan bekrefte IT-admin sin antydning)

1: Analysis of server Bruker var ikke på kontoret (sjekk av adgangskontroll) da dette skjedde – var bruker på hjemmekontoret ? Analyse av logger fra domenepålogging, DHCP lease og VPN server viser at bruker var pålogget via VPN på aktuelle tidspunkt Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette bekrefter IT-admin sin antydning) Bruker har en sonicwall vpnboks og åpner automatisk ved forsøk på aksess mot bedriftens ressurser

2: analysis of computer Data fra hjemme-pc sikres for analyse Bruker innrømmer å ha vært hjemme og at maskinen har vært online i aktuelt tidsrom Analysen konsentreres nå om å finne elektroniske spor som bekrefter at hjemme-pc er kilden for de hendelser vi har dokumentert på server. Finnes det noen spor som kan knytte bruker til hendelsen eller kan maskinen være hacket slik bruker påstår ? Viktig å gå inn i saken nøytralt – vi vet i utgangspunktet ikke hva som har skjedd – kan IT-admin ha mistolket informasjon, må derfor utføre Sporet med hjemmeorådet gir oss et konkret spor som må forfølges (dette bekrefter IT-admin sin antydning)

2: analysis of computer Windows OS logger default veldig lite. Std. eventlogger viser ikke noe spesielt, men vi merker oss alarm/feil/advarsel på NAV En nærmere sjekk viser at NAV har detektert en trojaner uten å kunne fjerne viruset Et rootkit ser ut til å være installert. Ved hjelp av software utføres: - MD5 hash & filsignatur sammenligning - ser etter filer brukt el. modifisert av et rootkit - skjulte filer - skanner innhold i tekst og binærfiler Dette er et nytt spor som kanskje fritar bruker av hjemmepc fra mistanke MD5 hash compare - Look for default files used by rootkits - Wrong file permissions for binaries - Look for suspected strings in LKM and KLD modules - Look for hidden files - Optional scan within plaintext and binary files

3: Hypothesis Internett bedrift Internett VPN Server Hjemmepc Hypotesen vi jobber etter nå er at maskinen er hacket, og benyttet som en kilde for angrepet for å skjule hackers virkelige identitet En bankraner bruker en stjålet fluktbil for å skjule sine spor

4: Tracking the Internet ISP kan dokumentere mye unormal trafikk til pc. Dette kommer fra en bestemt ip-adresse Både ISP og et oppslag i en Whois database bekrefter at adressen tilhører et ip-nett i Sverige Vi kontakter denne ISP’n og får opplyst at adressen tilhører en proxy server Internett Regjeringen ønsker å kreve at tele- og internett-levernadørene skal lagre data fra tele og Internett-trafikk i et helt år, opp fra dagens tre måneder. A proxy is like a middle man between you and what you connect to, that fakes your identity. When using the proxy, others will not be able to gather accurate information on your connection. Her stopper ofte en privat etterforskning da vi ikke har myndighet til å hente ut disse loggene.

4: Tracking the Internet En sammenligning av logger viser at det finnes spor etter samme proxy-adresse i bedriftens egne logger Administrator på proxy’en kan spore opprinnelig kilde og utlevere loggen (politiet har myndighet til dette) Kilde-ip fører oss tilbake til en linux maskin i Norge (samme som i foredrag 1) Dette er en veldig vanlig måte å felle for eksempel hackere som defacer websider. De sjekker ofte målet før de slår til og så sjekker de målet etterpå for å se på resultatet. S Nå har vi to elektroniske spor som peker tilbake på samme kilde – hackeren kan sirkles inn

4: tracking the Internet Maskinen beslaglegges og analyseres Det blir funnet spor etter overvåking og kartlegging av hjemmepc’en Et spor viser at en anonym proxytjeneste har vært benyttet til å aksessere en åpen port på hjemmepc’en Hackerverktøyene som ble funnet på hjemmepc’en finnes det ingen spor etter på denne maskinen Det finnes heller ingen spor etter aktivitetene som ble utført på bedriftens server. Ingen kopier av fildata eller andre spor kan bevise en slik kobling Anonyme proxier kan ikke verifiseres Skriptkiddie inst. Hackerverktøy -> kan ikke bevise kobling mellom skriptkiddie og linuxmaskin Anonymous proxies destroys information about your computer in the requests header. So you can safely surf the net and your information will never be used by hackers and spammers

5: Report and documentation Vår rapport vil dokumentere de elektroniske sporene vi har samlet inn. De elektroniske sporene bekrefter hypotesen vi har jobbet etter. Vi har ”chain of evidence” som ser ut til å knytte linux maskinen til skadeverket, men det er for mange løse tråder til å trekke en entydig konklusjon Er det flere elementer vi ikke har vudert ? Vitenprov Andre maskiner Ibas har nå etterforsket og presentert de elektroniske sporene i denne saken. Neste trinn blir i samråd med advokaten å finne ut hva som skal gjøres videre