Cybercrime threats on e-world Hoe voorbereiden op en overwinnen van cybercrime Miguël Blauwbloeme Federal Computer Crime Unit Directie voor de bestrijding van de economische en financiële criminaliteit © 2005 Presentatie VERA

Internet... de informatie snelweg brengt je tot bij de Informatie gemeenschap, E-commerce, E-government... Hip hip hip Hoera !!!! Waarom heb je mij uitgenodigd ? Om slecht nieuws te brengen ?

NEE, enkel om advies te geven om je van deze situatie te behoeden.. Hoe wist ik over bestaan van misdaad tegen e-world ? Het bestaat nog niet ? Presentatie gebaseerd op cyber crime dossiers in Belgie

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Doelstelling Geen opleiding Wel bewustmaking Risico’s ICT fraude Bewaring sporen Mogelijkheden politie

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Mijn buurman, een ICT fraudeslachtoffer ? Ze hebben u niet speciaal op ‘t oog … maar u bent aangesloten en zichtbaar op het Internet, het telefoonnetwerk of je nieuwe wireless u bent een leuk doel om hun nieuwe virus op te testen ze zoeken juist een ICT systeem te gebruiken : als opslag en uitwisselstation van illegale stuff (kinderporno, warez,…) als tussenstation voor illegale activiteit (spamming, hacking) om internationale oproepen te doen … waar u voor betaalt ze willen een nieuwe computer en u heeft er een

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Ik ? Slachtoffer ? Waarom ? Ze zoeken u : vanwege hun interesse voor de data op uw systeem Identiteitsgegevens Financiële informatie (inkomen, credit cards, …) Gezondheidsinformatie (Ziektes, behandelingen, …) Gerechtelijke achtergrond omdat ze u niet leuk vinden en omdat ze u schade willen toebrengen of willen uitschakelen Sociale / economische / civil / politieke organisaties Terroristische organisaties

Wat extra zorg is aangewezen indien … uw business / productie processen volledig of in belangrijke mate afhangen van uw ICT systeem => groeiende kwetsbaarheid => grote impact ICT crime u vitale of cruciale diensten levert Energie / Water Telecommunicatie Transport Financiële instituten Gezondheidsinstellingen uw werknemers hebben een externe toegang tot uw interne netwerk (0800 lijnen of Internet)

Slachtoffers ICT fraude Van multinationals over KMO tot particulier GEEN assessment van waarde van gegevens => GEEN backups Slechte controle op sleutelfunctie werknemers Geen/slechte beveiliging ICT (rol management) Niet voorzien op incidenten nacht / weekend Geen of late ontdekking : klachten van buitenaf Installatie van aangepaste versies van besturingssystemen op gehackte computers Absoluut gebrek aan bewustzijn bij gebruikers

Schade om over na te denken Een bezoekje vroeg in de morgen Uw bedrijf afgesloten van Internet door ISP wegens verspreiding spam (door hacker via uw server) Uw telecomfactuur volgende maand € hoger Resultaat van 5 jaar R&D inzake spitstechnologie met documentatie en broncode in handen van de concurrent Uw bedrijf gedurende enkele dagen plat – kosten voor diagnose & heropstarten - verliezen Uw systeembeheerder aangehouden omwille van gebruik van uw bedrijfsserver voor uitwisseling kinderpornografie Uw persoonlijke documenten / foto’s / s te grabbel op Internet

Als slachtoffer (bedrijf) bent u misschien aansprakelijk voor … de illegale activiteit op uw ICT systeem de schade veroorzaakt aan andere ICT systemen de schade veroorzaakt aan uw klanten het niet in overeenstemming zijn met de Privacy wet Informatieverplichting van een gegevensverwerker Afwezigheid van bescherming van persoonlijke data het niet in staat zijn om de overheden te voorzien van verbindingsgegevens als telecom service provider producten die niet werken op een veilige manier

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

De “bad guys” Who are they ?

Dadersprofielen : script kiddies Hoofdzakelijk jonge mannen <20 jaar Schoolkennis ICT – weinig ervaring Maken gebruik van Internetdoc en programma’s Studenten of eerste broekjes Meestal geen relatie met hun slachtoffers. Abnormale « werk »tijden (nacht / weekend) Niet gerichte acties wegens gebrek aan duidelijk doel : vervallen in ICT vandalisme. Vormen door hun gebrek aan kennis vaak een groot gevaar voor het aangevallen systeem.

Daderprofielen : de Pro’s Hoofdzakelijk jonge mannen <40 jaar Goede tot zeer goede ICT kennis en ervaring Functies met hoge verloning (Dir, SysAdm,...) Werknemers van bedrijf dat slachtoffer werd. Abnormale werktijden (nacht / weekend) Abnormaal hoge levensstandaard / schulden Soms ondersteuning georganiseerde criminaliteit De wereld is klein … Gerichte acties met duidelijk oogmerk : financiëel gewin, wraak, … Wissen sporen, houden poort open

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Hoe ICT-fraude ontdekken ? Het gevaar van buitenaf : een portier Activatie en nazicht logfiles (sporen van activiteit) Firewall, proxy-servers, Toezicht op gebruik bandbreedte / stockagecapaciteit Het gevaar van binnenin : de nachtwaker Toezicht op gebruikersgedrag (Volume, tijdstip, connectiepunt, gelijktijdige aansluiting) Vergelijken van gebruikersprofielen (bvb met “normaal”) Aandacht voor “kwetsbare” momenten in ICT systeem (testfases, conversiemomenten, …) Audits ICT-ontwikkeling & werking ICT systeem

Waar zijn er sporen in het ICT systeem ? Op de PC van de « verdachte » Opgeslagen (gewiste) gebruikersbestanden Tijdelijke bestanden (werkbestanden toepassingen) Loggingbestanden van toepassingen Bestanden Internet activiteit (surf, mail, news,…) Binnen het bedrijfsnetwerk Gebruikerslijst / toegangsrechten Logfiles (aansluiting op netwerk, internetgebruik) Andere partijen Telefoonmaatschappij (oproep naar Internet toegangs P) Internet toegangs P (Internetsessies : dynamisch adres) Internet diensten P (sporen gebruikte Internetdiensten)

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Waar een klacht neerleggen ? Bij een politiedienst … Lokale Politie => niet gespecialiseerd => niet aangewezen Gerechtelijke Dienst van het Arrondissement (GDA) => beter maar … GDA/ regionale CCU => the right place to be Federal Computer Crime Unit => 24/7 contact Risico’s voor aanvallen op vitale / cruciale ICT systemen => bellen ! … of onmiddellijk bij een magistraat ? Procureur des Konings => zal toch opdracht naar politie zenden => kan beslissen om niet te vervolgen Onderzoeksrechter => klacht met burgerlijke partijstelling => verplichting om de zaak te onderzoeken

E-Politie organisatie en taken Fed Pol Nationaal Niveau 25 personen 24 aanwezig 1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact Beleid 6 Juridisch Vorming Materieel Infobeheer Internet- opsporingen 8 Proactieve projecten Centraal Gerechtelijk Meldpunt op Internet Operaties 8 Forensische bijstand Complexe ICT syst. tvv - RCCU - centrale eenheden Onderzoek ICT crime Cyber crime task force Telecom 3 Advies inzake - intercepties en observaties Dossiers telecom fraude Forensische GSM analyse Fed Pol Regionaal Niveau 105 personen 90 aanwezig 19 Regionale Computer Crime Units (1 – 3 Arrondissementen) Bijstand voor huiszoekingen, analyse van ICT systemen, verhoren, internetopsporingen Dossiers ICT criminaliteit (ondersteund door FCCU) Lokaal Niveau Fed Pol Lok Pol Eerste lijnspolitie “Bevriezen” van de situatie tot de komst van FCCU of RCCU Herkennen, selecteren en veiligstellen van ICT gegevensdragers

Ons dienstenaanbod Nemen uw klacht op Afstapping op de plaats van het misdrijf Vormen een beeld van het slachtoffer systeem (Image) backup van systeem (indien mogelijk) Analyse van logfiles Internet opsporingen (Identificatie, lokalisatie) Huiszoekingen Verhoor van betrokken partijen Forensische analyse van IBN ICT apparatuur Opstellen van een « begrijpbaar » rapport

Onbekendheid van slachtoffers met ICT fraude Schrik bij slachtoffers voor hun « imago » Laattijdigheid van de klachten Herstel van ICT systeem primordiaal « vertrappelde sporen » Gefilterde sporen & problemen tijdsynchronisatie Onbekendheid van politie / magistratuur met ICT Kosten van het onderzoek Internationaal aspect Vluchtigheid van telecom / Internetsporen Grootste problemen bij ICT opsporingen

Agenda Doelstelling Fraude op buurman’s ICT systeem ? Het slachtoffer De “bad guys” Hoe ontdekken Het gerecht Aanbevelingen

Preventieve tips Stel algemene ICT gebruiksrichtlijn op ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid Stel ICT veiligheidsverantwoordelijke aan bewustmaking & controle van de toepassing Scherm bedrijfskritische systemen / gegevens af van op Internet aangesloten netwerken ! Installeer recente Anti-virus ; Firewall en actualiseer Ook op persoonlijke laptops Synchroniseer de systeemklok regelmatig Activeer en controleer loggings / voer audits uit Maak en test backups en bewaar ze veilig !

Tips voor slachtoffers van ICT fraude Verbreek verbinding (indien niet door aanvaller veroorzaakt) Noteer info inzake laatste ICT activiteit en exact tijdstip Evalueer : schade belangrijker dan herstarten ? Herstarten belangrijk : maak full backup vóór herinstallatie Schade belangrijker : laat situatie onaangeroerd Bewaar alle berichten, loggings in originele toestand Leg klacht neer bij politie of parket … Wijzig alle paswoorden en liefst ook gebruikersnamen Pas opnieuw verbinden indien oorzaak verholpen

Contact informatie Federale Politie Directie voor de bestrijding van economische en financiële criminaliteit Federal Computer Crime Unit Notelaarstraat Brussel Tel kantoor uren: Tel 24/7 permanentie: Fax : FCCU Central Judicial Contact Point: