De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Cyber Security RU Erik Poll Digital Security Radboud University Nijmegen 1.

Verwante presentaties


Presentatie over: "Cyber Security RU Erik Poll Digital Security Radboud University Nijmegen 1."— Transcript van de presentatie:

1 Cyber Security onderzoek @ RU Erik Poll Digital Security Radboud University Nijmegen 1

2 Informatica is overal Informatica is – nog maar net - overal Ontwikkeling gaat razendsnel Virtuele & fysieke wereld steeds nauwer verbonden 2

3 Digital Security groep @ ICIS.FWNI Methoden voor ontwerp & analyse van veilige ICT veilig in de zin van goed beveiligd incl. maatschappelijk impact Waarom? Vertrouwen in ICT steeds belangrijker Maatschappelijke impact steeds groter En het is gewoon leuk

4 Digitale beveiliging Hardware Software.... Wetware – individuele eindgebruiker – organisatie – maatschappij Raakvlakken van wiskunde (cryptografie) tot rechten (juridische aspecten ) 4

5 Begrijpen van security eisen [Stemmen met Vertrouwen, commissie Korthals-Altes]

6 Testen van security

7 Identiteit & Privacy Lab Wie ben je? Wat weten ze over je? Privacy & Identity Lab ism SIDN, TNO, UvT (Rechten) 7

8 mythe - realiteit 8 [Peter Steiner,1993] Welcome user29. (IP address: 131.174.16.131) RU Nijmegen, NL; male german shepherd, 4 yrs old, neutered, interests: dogfood cats

9 “Big data” “Big data” : de gigantische bergen data die er tegenwoordig zijn, bij bepaalde bedrijven of ‘ergens in de cloud’ NB ‘gratis’ diensten (gmail, facebook,..) betalen deze met reclame & het verzamelen van gegevens over jou om reclame beter te targetten: if you are not paying for it, then you are the product being sold 9

10 Profiling De mogelijkheden van moderne ICT voor opslag van gigantische hoeveelheden gegevens dit snel automatisch te doorzoeken maakt het mogelijk om gebruikers/klanten te profilen behavourial / targetted advertising (prijs)discriminatie – verschillende prijzen – verschillende producten.... 10

11 Meer weten over cybersecurity? Volg het college Security van prof Bart Jacobs (herfst-semester) 11

12 Digital Forensics “Digitale sporen” Erik Poll Digital Security Radboud University Nijmegen 12

13 Forensics Wat moet de politie doen voor het forensisch onderzoek? 13

14 Forensics Stappen: – identificeren bewijs – conserveren – analyseren – presenteren Alles volgens de juiste procedures en regels, vooral als resultaten in rechtzaal gepresenteerd moet worden 14

15 Digitale forensics Wat moet de politie doen voor het forensisch onderzoek? 15 Digitale forensics is lastig !

16 Digitale forensics ook bij fysieke misdrijven Welke digitale gegevens van deze arrestant zouden interessant kunnen zijn? – GSM verkeersgegevens – TomTom – facebook pagina – gmail account – ebay, marktplaats account – internetgegevens – bankgegevens –…–… 16

17 Digitale sporen Welke digitale sporen laat je achter? – en hoeveel? Waar zijn die te vinden? Hoe kun je ze opnemen? Wat kun je ermee? Zijn digitale sporen anders dan fysieke? Zoja, in welke opzichten? Onderliggend issue: de (groeiende) rol van ICT in onze moderne maatschappij 17

18 Digitale vs fysieke forensics 10111010100101101011 00100110101101001010 10110111100010110101 01101001001101010110 10110101101010101110 10101101001011010101 10100110101010110110 11010110101001010111 01101000101101010010 11010111010100001101 18

19 computercriminaliteit 19

20 ICT gebruik door criminelen 1.bij traditionele criminaliteit, in de fysieke wereld, bijv – bankoverval: emailen over plannen, materiaal op ebay kopen, mobieltje gebruiken om vluchtauto te roepen, etc. 2.bij computercriminaliteit, De plaats delict – en mogelijk het delict - is “virtueel” 3.niet-crimeel huis/tuin/keuken gebruik – zijn oma bellen 20

21 Vormen van computercriminaliteit? spam inbraken op computer – om te spammen (via botnet) – om gegevens te stelen – voor afpersing –.... copyright schendingen kinderporno Denial of Service (DoS) aanvallen – bijv. hacktivisme – voor afpersing –... 21

22 informatie-diefstal? Juridisch gesproken is kopieren van informatie geen diefstal (waarom niet?) er is alleen sprake van diefstal als de rechtmatige eigenaar toegang wordt ontnomen Ook van forensisch ipv juridisch belang: informatie-“diefstal” is lastig te detecteren 22

23 Eigenschappen van digitale gegevens Digitale gegevens zijn makkelijk te kopieren makkelijk perfect te kopieren (vaak) makkelijk te wijzigen in zeer grote hoeveelheden op te slaan razendsnel automatisch te verwerken soms erg vluchtig – computer uit: gegevens weg? soms erg hardnekkig – delete is zelden delete 23

24 Terug naar de digitale forensics 24

25 Waar vind je digitale sporen? op een computer in / op het netwerk – mn. internet en mobiele telefonie – door de lucht/over de lijn – op computers (servers) achter de schermen dit netwerk mogelijk maken in de cloud – bijv bij gmail, facebook, flickr, picasa, twitter, … – cloud = informatie-opslag & verwerkingscapaciteit die via internet wordt aangeboden vooral in zgn. log-bestanden 25

26 GSM verkeersgegevens http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten 26

27 Telecommunicatiewet Internetproviders & telefoonmaatschappijen moeten verkeersgegevens 6 maanden bewaren – internet: tijdstip van gebruik, adres (maar niet inhoud) van emails, geen IP verkeer – GSM: lokatie, gebelde nummers,geSMSde nummers, geen gespreks/SMS inhoun Ov-chip gegevens worden 2 jaar bijgehouden (oorspronkelijk plan: 7 jaar) 27

28 Waar moet je zoeken op een PC of mobiel? Op allerlei plekken in het file systeem: Bestanden op de filesysteem Informatie achter de schermen - “onder water” - – die het besturingssysteem bijhoudt – die allerlei applicaties bijhouden (geschiedenis, tijdelijke files, auto-save, …) 28

29 29 Interessante plekken op een Windows PC Windows General Temp folder Recycle Bin Last logged-on user Event logs Last key edited by RegEdit List of Installed USB devices SetupAPI Device Log Windows Prefetch Apps Recently Opened Office Docs Files recently accessed by Windows Media Player Offline Outlook Mailbox Temp folder for Outlook attachments Web browser Temp Folder / Cache Cookies History Typed URLs Forms AutoComplete Password AutoComplete Printer spool folder Windows Explorer Recently opened files & folders Recent searches Network Shortcuts Recently run from the "Run" bar User Assist

30 30

31 Informatie van je browser achter de schermen op het file systeem 31 van de file browser, niet de web browser

32 Hoe moet je zoeken op een PC? Er zijn tools om dit te analyseren – maar er zijn ook tools om sporen uit te wissen Wel oppassen dat je dit soort informatie niet vervuilt: de data kan fragiel zijn! Mogelijkheden: – harde schijf read-only vanaf andere PC bekijken – een hash van de informatie digitaal tekenen en veilig bewaren 32

33 Nog dieper zoeken: verwijderde bestanden Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert 33 Desktop Forensics.ppt tentamen.pdf MS Powerpoint 2007... MS Comic Sans... Title: Digital Forensics Footer: Erik... 1101010010101010101010010 1010101010101010101010010 1021010101010101010111010 1010001011110101001101010 0010111010101011101000110 1110001100101010101001011

34 Nog dieper zoeken: verwijderde bestanden Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert Moraal: delete is niet delete … 34 Desktop XXrensics.pptXXXX tentamen.pdf XX Powerpoint 2007... MS Comic Sans... Title: Digital Forensics Footer: Erik... 1101010010101010101010010 1010101010101010101010010 1021010101010101010111010 1010001011110101001101010 0010111010101011101000110 1110001100101010101001011 Na verwijderen Forensics.ppt en legen Prullenbak

35 Nog dieper zoeken: overschreven bestanden Ook als informatie overschreven is, kan de oude info nog te achterhalen zijn Aanbeveling: voor echt veilig verwijderen minstens 5 keer overschrijven met random data 35 010101010101010111110101011… tracks data op harde schijf 101011000101011011101101011… overschrijven met nieuwe data 011101010111010111010101011… 011101010101110111100101010… Track 1 Track 2 Track 3

36 Nog dieper zoeken: beschadigde apparatuur 36

37 Vaak is dat allemaal niet nodig: 37

38 Waar moet je zoeken? meta-data In een bestand vind je vaak meta-data, dwz informatie over het bestand die “onder water” wordt bijgehouden Bijv. informatie over het type bestand (Windows 2007 Office.doc) de maker (username) de ontstaansgeschiedenis (revision history, track-changes) 38

39 Oeps, meta-data… Het Irak dossier van Britse overheid, verspreid als.doc, bevatte Rev. #1: "cic22" edited file "C:\DOCUME~1\phamill\Temp\AutoRecovery save of Iraq - security.asd".... Rev. #6: "ablackshaw" edited file "C:\ABlackshaw\Iraq - security.doc".. Rev. #10: "MKhan" edited file "C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc".. verraadt namen van de schrijvers: Paul Hamill - Foreign Office official Alison Blackshaw - personal assistant of the Prime Minister's press secretary Murtaza Khan - Junior press officer for the Prime Minister 39

40 Digitale vingerafdrukken? Forensics gebruikt vaak biometrie: fysieke eigenschappen van mensen of dier voor identificatie – bijv. spraak, gezicht, vingerafdruk, iris, DNA, handschrift, oorafdruk, vingerlengtes, manier van lopen, type-ritme, … Digitale forensics moet het doen met uniek (?) identificerende kenmerken als IP adres, email adres, … Internetten dus niet anoniem! Maar… mogelijk te vervalsen? 40

41 Digitale vingerafdrukken? Op sommige computers is er doelbewust een uniek kenmerk aangebracht (bijv. chipkaart serienummer bij de ov-chip kaart) Soms is software-configuratie onbedoeld ook uniek: de meeste web-browsers zijn uniek door specifieke versies & instellingen van de browser en plugins Probeer het zelf op http://panopticlick.eff.org Geheugenchips bevatten bij start-up een willekeurige, (bijna) vaste waarden 41

42 Profiling van mogelijke criminelen of terroristen? (Hoe) zou je adhv betalingsverkeergegevens een potentiele terrorist kunnen opsporen, voor de aanslag? – Alleenstaande man? – Buitenlandse voor- of achternaam? – Eenmalig groot bedrag gestort in cash/uit buitenland? – Nooit pintransacties op vrijdagen? – Nooit grote pintransacties op do/vrijdag-avond? – of: lid van schietverening & extreem rechtse partij? De verleiding - en politieke druk - voor profiling kan groot zijn (function creep!), maar de foutmarges (false positives/false negatives) moet extreem klein zijn wil het werken! 42

43 Conclusies We laten steeds meer digitale sporen na – zonder dat we ons hiervan bewust zijn? De “virtualiteit” maakt digitale forensics soms lastig  – dader of forensische onderzoeker kan data wijzigen De gigantische hoeveelheden data, in combinatie met mogelijkheid tot automatisch doorzoeken, maken het veelbelovend – Bijv. alle vingerafdrukken in dit gebouw opnemen is onbegonnen werk; al het netwerkverkeer opslaan niet – Of vinden we dit ongewenst?  Bijv: ‘google’ een foto van iemand (bijv. op facebook) 43

44 Vragen? 44


Download ppt "Cyber Security RU Erik Poll Digital Security Radboud University Nijmegen 1."

Verwante presentaties


Ads door Google