Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdMatthias Beckers Laatst gewijzigd meer dan 9 jaar geleden
1
Cyber Security onderzoek @ RU
Erik Poll Digital Security Radboud University Nijmegen
2
Informatica is overal Informatica is – nog maar net - overal
Ontwikkeling gaat razendsnel Virtuele & fysieke wereld steeds nauwer verbonden
3
Digital Security groep @ ICIS.FWNI
Methoden voor ontwerp & analyse van veilige ICT veilig in de zin van goed beveiligd incl. maatschappelijk impact Waarom? Vertrouwen in ICT steeds belangrijker Maatschappelijke impact steeds groter En het is gewoon leuk
4
Digitale beveiliging Software .... Wetware
Hardware Software Wetware individuele eindgebruiker organisatie maatschappij Raakvlakken van wiskunde (cryptografie) tot rechten (juridische aspecten )
5
Begrijpen van security eisen
wat betekenen wij voor jullie? [Stemmen met Vertrouwen, commissie Korthals-Altes]
6
Testen van security
7
Identiteit & Privacy Lab
Wie ben je? Wat weten ze over je? Privacy & Identity Lab ism SIDN, TNO, UvT (Rechten)
8
mythe - realiteit Welcome user29. (IP address: 131.174.16.131)
RU Nijmegen, NL; male german shepherd, 4 yrs old, neutered, interests: dogfood cats [Peter Steiner,1993]
9
“Big data” “Big data” : de gigantische bergen data die er tegenwoordig zijn, bij bepaalde bedrijven of ‘ergens in de cloud’ NB ‘gratis’ diensten (gmail, facebook, ..) betalen deze met reclame & het verzamelen van gegevens over jou om reclame beter te targetten: if you are not paying for it, then you are the product being sold
10
Profiling De mogelijkheden van moderne ICT voor
opslag van gigantische hoeveelheden gegevens dit snel automatisch te doorzoeken maakt het mogelijk om gebruikers/klanten te profilen behavourial / targetted advertising (prijs)discriminatie verschillende prijzen verschillende producten ....
11
Meer weten over cybersecurity?
Volg het college Security van prof Bart Jacobs (herfst-semester)
12
Digital Forensics “Digitale sporen”
Erik Poll Digital Security Radboud University Nijmegen
13
Forensics Wat moet de politie doen voor het forensisch onderzoek?
14
Forensics Stappen: identificeren bewijs conserveren analyseren
presenteren Alles volgens de juiste procedures en regels, vooral als resultaten in rechtzaal gepresenteerd moet worden
15
Digitale forensics Digitale forensics is lastig !
Wat moet de politie doen voor het forensisch onderzoek? Digitale forensics is lastig !
16
Digitale forensics ook bij fysieke misdrijven
Welke digitale gegevens van deze arrestant zouden interessant kunnen zijn? GSM verkeersgegevens TomTom facebook pagina gmail account ebay, marktplaats account internetgegevens bankgegevens …
17
Digitale sporen Welke digitale sporen laat je achter? en hoeveel?
Waar zijn die te vinden? Hoe kun je ze opnemen? Wat kun je ermee? Zijn digitale sporen anders dan fysieke? Zoja, in welke opzichten? Onderliggend issue: de (groeiende) rol van ICT in onze moderne maatschappij
18
Digitale vs fysieke forensics
19
computercriminaliteit
20
ICT gebruik door criminelen
bij traditionele criminaliteit, in de fysieke wereld, bijv bankoverval: en over plannen, materiaal op ebay kopen, mobieltje gebruiken om vluchtauto te roepen, etc. bij computercriminaliteit, De plaats delict – en mogelijk het delict - is “virtueel” niet-crimeel huis/tuin/keuken gebruik zijn oma bellen
21
Vormen van computercriminaliteit?
spam inbraken op computer om te spammen (via botnet) om gegevens te stelen voor afpersing .... copyright schendingen kinderporno Denial of Service (DoS) aanvallen bijv. hacktivisme ...
22
informatie-diefstal? Juridisch gesproken is kopieren van informatie geen diefstal (waarom niet?) er is alleen sprake van diefstal als de rechtmatige eigenaar toegang wordt ontnomen Ook van forensisch ipv juridisch belang: informatie-“diefstal” is lastig te detecteren
23
Eigenschappen van digitale gegevens
Digitale gegevens zijn makkelijk te kopieren makkelijk perfect te kopieren (vaak) makkelijk te wijzigen in zeer grote hoeveelheden op te slaan razendsnel automatisch te verwerken soms erg vluchtig computer uit: gegevens weg? soms erg hardnekkig delete is zelden delete
24
Terug naar de digitale forensics
25
Waar vind je digitale sporen?
op een computer in / op het netwerk mn. internet en mobiele telefonie door de lucht/over de lijn op computers (servers) achter de schermen dit netwerk mogelijk maken in de cloud bijv bij gmail, facebook, flickr, picasa, twitter, … cloud = informatie-opslag & verwerkingscapaciteit die via internet wordt aangeboden vooral in zgn. log-bestanden
26
GSM verkeersgegevens http://www. zeit
27
Telecommunicatiewet Internetproviders & telefoonmaatschappijen moeten verkeersgegevens 6 maanden bewaren internet: tijdstip van gebruik, adres (maar niet inhoud) van s, geen IP verkeer GSM: lokatie, gebelde nummers,geSMSde nummers, geen gespreks/SMS inhoun Ov-chip gegevens worden 2 jaar bijgehouden (oorspronkelijk plan: 7 jaar)
28
Waar moet je zoeken op een PC of mobiel?
Op allerlei plekken in het file systeem: Bestanden op de filesysteem Informatie achter de schermen - “onder water” - die het besturingssysteem bijhoudt die allerlei applicaties bijhouden (geschiedenis, tijdelijke files, auto-save, …)
29
Interessante plekken op een Windows PC
Windows General Temp folder Recycle Bin Last logged-on user Event logs Last key edited by RegEdit List of Installed USB devices SetupAPI Device Log Windows Prefetch Apps Recently Opened Office Docs Files recently accessed by Windows Media Player Offline Outlook Mailbox Temp folder for Outlook attachments Web browser Temp Folder / Cache Cookies History Typed URLs Forms AutoComplete Password AutoComplete Printer spool folder Windows Explorer Recently opened files & folders Recent searches Network Shortcuts Recently run from the "Run" bar User Assist
31
Informatie van je browser achter de schermen op het file systeem
van de file browser, niet de web browser
32
Hoe moet je zoeken op een PC?
Er zijn tools om dit te analyseren maar er zijn ook tools om sporen uit te wissen Wel oppassen dat je dit soort informatie niet vervuilt: de data kan fragiel zijn! Mogelijkheden: harde schijf read-only vanaf andere PC bekijken een hash van de informatie digitaal tekenen en veilig bewaren
33
Nog dieper zoeken: verwijderde bestanden
Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert Desktop Forensics.ppt tentamen.pdf MS Powerpoint MS Comic Sans ... Title: Digital Forensics Footer: Erik ...
34
Nog dieper zoeken: verwijderde bestanden
Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert Moraal: delete is niet delete … Desktop XXrensics.ppt XXXX tentamen.pdf XX Powerpoint MS Comic Sans ... Title: Digital Forensics Footer: Erik ... Na verwijderen Forensics.ppt en legen Prullenbak
35
Nog dieper zoeken: overschreven bestanden
Ook als informatie overschreven is, kan de oude info nog te achterhalen zijn Aanbeveling: voor echt veilig verwijderen minstens 5 keer overschrijven met random data tracks data op harde schijf overschrijven met nieuwe data … Track 1 … … Track 2 Track 3 …
36
Nog dieper zoeken: beschadigde apparatuur
37
Vaak is dat allemaal niet nodig:
38
Waar moet je zoeken? meta-data
In een bestand vind je vaak meta-data, dwz informatie over het bestand die “onder water” wordt bijgehouden Bijv. informatie over het type bestand (Windows 2007 Office .doc) de maker (username) de ontstaansgeschiedenis (revision history, track-changes)
39
Oeps, meta-data… Het Irak dossier van Britse overheid, verspreid als .doc, bevatte Rev. #1: "cic22" edited file "C:\DOCUME~1\phamill\Temp\AutoRecovery save of Iraq - security.asd" .. .. Rev. #6: "ablackshaw" edited file "C:\ABlackshaw\Iraq - security.doc" .. Rev. #10: "MKhan" edited file "C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc" .. verraadt namen van de schrijvers: Paul Hamill - Foreign Office official Alison Blackshaw - personal assistant of the Prime Minister's press secretary Murtaza Khan - Junior press officer for the Prime Minister
40
Digitale vingerafdrukken?
Forensics gebruikt vaak biometrie: fysieke eigenschappen van mensen of dier voor identificatie bijv. spraak, gezicht, vingerafdruk, iris, DNA, handschrift, oorafdruk, vingerlengtes, manier van lopen, type-ritme, … Digitale forensics moet het doen met uniek (?) identificerende kenmerken als IP adres, adres, … Internetten dus niet anoniem! Maar… mogelijk te vervalsen?
41
Digitale vingerafdrukken?
Op sommige computers is er doelbewust een uniek kenmerk aangebracht (bijv. chipkaart serienummer bij de ov-chip kaart) Soms is software-configuratie onbedoeld ook uniek: de meeste web-browsers zijn uniek door specifieke versies & instellingen van de browser en plugins Probeer het zelf op Geheugenchips bevatten bij start-up een willekeurige, (bijna) vaste waarden
42
Profiling van mogelijke criminelen of terroristen?
(Hoe) zou je adhv betalingsverkeergegevens een potentiele terrorist kunnen opsporen, voor de aanslag? Alleenstaande man? Buitenlandse voor- of achternaam? Eenmalig groot bedrag gestort in cash/uit buitenland? Nooit pintransacties op vrijdagen? Nooit grote pintransacties op do/vrijdag-avond? of: lid van schietverening & extreem rechtse partij? De verleiding - en politieke druk - voor profiling kan groot zijn (function creep!), maar de foutmarges (false positives/false negatives) moet extreem klein zijn wil het werken!
43
Conclusies We laten steeds meer digitale sporen na
zonder dat we ons hiervan bewust zijn? De “virtualiteit” maakt digitale forensics soms lastig dader of forensische onderzoeker kan data wijzigen De gigantische hoeveelheden data, in combinatie met mogelijkheid tot automatisch doorzoeken, maken het veelbelovend Bijv. alle vingerafdrukken in dit gebouw opnemen is onbegonnen werk; al het netwerkverkeer opslaan niet Of vinden we dit ongewenst? Bijv: ‘google’ een foto van iemand (bijv. op facebook)
44
Vragen?
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.