Cyber Security onderzoek @ RU Erik Poll Digital Security Radboud University Nijmegen
Informatica is overal Informatica is – nog maar net - overal Ontwikkeling gaat razendsnel Virtuele & fysieke wereld steeds nauwer verbonden
Digital Security groep @ ICIS.FWNI Methoden voor ontwerp & analyse van veilige ICT veilig in de zin van goed beveiligd incl. maatschappelijk impact Waarom? Vertrouwen in ICT steeds belangrijker Maatschappelijke impact steeds groter En het is gewoon leuk
Digitale beveiliging Software .... Wetware Hardware Software .... Wetware individuele eindgebruiker organisatie maatschappij Raakvlakken van wiskunde (cryptografie) tot rechten (juridische aspecten )
Begrijpen van security eisen wat betekenen wij voor jullie? [Stemmen met Vertrouwen, commissie Korthals-Altes]
Testen van security
Identiteit & Privacy Lab Wie ben je? Wat weten ze over je? Privacy & Identity Lab ism SIDN, TNO, UvT (Rechten)
mythe - realiteit Welcome user29. (IP address: 131.174.16.131) RU Nijmegen, NL; male german shepherd, 4 yrs old, neutered, interests: dogfood cats [Peter Steiner,1993]
“Big data” “Big data” : de gigantische bergen data die er tegenwoordig zijn, bij bepaalde bedrijven of ‘ergens in de cloud’ NB ‘gratis’ diensten (gmail, facebook, ..) betalen deze met reclame & het verzamelen van gegevens over jou om reclame beter te targetten: if you are not paying for it, then you are the product being sold
Profiling De mogelijkheden van moderne ICT voor opslag van gigantische hoeveelheden gegevens dit snel automatisch te doorzoeken maakt het mogelijk om gebruikers/klanten te profilen behavourial / targetted advertising (prijs)discriminatie verschillende prijzen verschillende producten ....
Meer weten over cybersecurity? Volg het college Security van prof Bart Jacobs (herfst-semester)
Digital Forensics “Digitale sporen” Erik Poll Digital Security Radboud University Nijmegen
Forensics Wat moet de politie doen voor het forensisch onderzoek?
Forensics Stappen: identificeren bewijs conserveren analyseren presenteren Alles volgens de juiste procedures en regels, vooral als resultaten in rechtzaal gepresenteerd moet worden
Digitale forensics Digitale forensics is lastig ! Wat moet de politie doen voor het forensisch onderzoek? Digitale forensics is lastig !
Digitale forensics ook bij fysieke misdrijven Welke digitale gegevens van deze arrestant zouden interessant kunnen zijn? GSM verkeersgegevens TomTom facebook pagina gmail account ebay, marktplaats account internetgegevens bankgegevens …
Digitale sporen Welke digitale sporen laat je achter? en hoeveel? Waar zijn die te vinden? Hoe kun je ze opnemen? Wat kun je ermee? Zijn digitale sporen anders dan fysieke? Zoja, in welke opzichten? Onderliggend issue: de (groeiende) rol van ICT in onze moderne maatschappij
Digitale vs fysieke forensics 10111010100101101011001001101011010010101011011110001011010101101001001101010110101101011010101011101010110100101101010110100110101010110110110101101010010101110110100010110101001011010111010100001101
computercriminaliteit
ICT gebruik door criminelen bij traditionele criminaliteit, in de fysieke wereld, bijv bankoverval: emailen over plannen, materiaal op ebay kopen, mobieltje gebruiken om vluchtauto te roepen, etc. bij computercriminaliteit, De plaats delict – en mogelijk het delict - is “virtueel” niet-crimeel huis/tuin/keuken gebruik zijn oma bellen
Vormen van computercriminaliteit? spam inbraken op computer om te spammen (via botnet) om gegevens te stelen voor afpersing .... copyright schendingen kinderporno Denial of Service (DoS) aanvallen bijv. hacktivisme ...
informatie-diefstal? Juridisch gesproken is kopieren van informatie geen diefstal (waarom niet?) er is alleen sprake van diefstal als de rechtmatige eigenaar toegang wordt ontnomen Ook van forensisch ipv juridisch belang: informatie-“diefstal” is lastig te detecteren
Eigenschappen van digitale gegevens Digitale gegevens zijn makkelijk te kopieren makkelijk perfect te kopieren (vaak) makkelijk te wijzigen in zeer grote hoeveelheden op te slaan razendsnel automatisch te verwerken soms erg vluchtig computer uit: gegevens weg? soms erg hardnekkig delete is zelden delete
Terug naar de digitale forensics
Waar vind je digitale sporen? op een computer in / op het netwerk mn. internet en mobiele telefonie door de lucht/over de lijn op computers (servers) achter de schermen dit netwerk mogelijk maken in de cloud bijv bij gmail, facebook, flickr, picasa, twitter, … cloud = informatie-opslag & verwerkingscapaciteit die via internet wordt aangeboden vooral in zgn. log-bestanden
GSM verkeersgegevens http://www. zeit
Telecommunicatiewet Internetproviders & telefoonmaatschappijen moeten verkeersgegevens 6 maanden bewaren internet: tijdstip van gebruik, adres (maar niet inhoud) van emails, geen IP verkeer GSM: lokatie, gebelde nummers,geSMSde nummers, geen gespreks/SMS inhoun Ov-chip gegevens worden 2 jaar bijgehouden (oorspronkelijk plan: 7 jaar)
Waar moet je zoeken op een PC of mobiel? Op allerlei plekken in het file systeem: Bestanden op de filesysteem Informatie achter de schermen - “onder water” - die het besturingssysteem bijhoudt die allerlei applicaties bijhouden (geschiedenis, tijdelijke files, auto-save, …)
Interessante plekken op een Windows PC Windows General Temp folder Recycle Bin Last logged-on user Event logs Last key edited by RegEdit List of Installed USB devices SetupAPI Device Log Windows Prefetch Apps Recently Opened Office Docs Files recently accessed by Windows Media Player Offline Outlook Mailbox Temp folder for Outlook attachments Web browser Temp Folder / Cache Cookies History Typed URLs Forms AutoComplete Password AutoComplete Printer spool folder Windows Explorer Recently opened files & folders Recent searches Network Shortcuts Recently run from the "Run" bar User Assist
Informatie van je browser achter de schermen op het file systeem van de file browser, niet de web browser
Hoe moet je zoeken op een PC? Er zijn tools om dit te analyseren maar er zijn ook tools om sporen uit te wissen Wel oppassen dat je dit soort informatie niet vervuilt: de data kan fragiel zijn! Mogelijkheden: harde schijf read-only vanaf andere PC bekijken een hash van de informatie digitaal tekenen en veilig bewaren
Nog dieper zoeken: verwijderde bestanden Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert Desktop Forensics.ppt tentamen.pdf MS Powerpoint 2007 ... MS Comic Sans ... Title: Digital Forensics Footer: Erik ... 110101001010101010101001010101010101010101010100101021010101010101010111010101000101111010100110101000101110101010111010001101110001100101010101001011
Nog dieper zoeken: verwijderde bestanden Bij “delete” wordt vaak enkel een verwijzing naar een bestand verwijdert Moraal: delete is niet delete … Desktop XXrensics.ppt XXXX tentamen.pdf XX Powerpoint 2007 ... MS Comic Sans ... Title: Digital Forensics Footer: Erik ... 110101001010101010101001010101010101010101010100101021010101010101010111010101000101111010100110101000101110101010111010001101110001100101010101001011 Na verwijderen Forensics.ppt en legen Prullenbak
Nog dieper zoeken: overschreven bestanden Ook als informatie overschreven is, kan de oude info nog te achterhalen zijn Aanbeveling: voor echt veilig verwijderen minstens 5 keer overschrijven met random data tracks data op harde schijf overschrijven met nieuwe data 010101010101010111110101011… Track 1 101011000101011011101101011… 011101010111010111010101011… Track 2 Track 3 011101010101110111100101010…
Nog dieper zoeken: beschadigde apparatuur
Vaak is dat allemaal niet nodig:
Waar moet je zoeken? meta-data In een bestand vind je vaak meta-data, dwz informatie over het bestand die “onder water” wordt bijgehouden Bijv. informatie over het type bestand (Windows 2007 Office .doc) de maker (username) de ontstaansgeschiedenis (revision history, track-changes)
Oeps, meta-data… Het Irak dossier van Britse overheid, verspreid als .doc, bevatte Rev. #1: "cic22" edited file "C:\DOCUME~1\phamill\Temp\AutoRecovery save of Iraq - security.asd" .. .. Rev. #6: "ablackshaw" edited file "C:\ABlackshaw\Iraq - security.doc" .. Rev. #10: "MKhan" edited file "C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc" .. verraadt namen van de schrijvers: Paul Hamill - Foreign Office official Alison Blackshaw - personal assistant of the Prime Minister's press secretary Murtaza Khan - Junior press officer for the Prime Minister
Digitale vingerafdrukken? Forensics gebruikt vaak biometrie: fysieke eigenschappen van mensen of dier voor identificatie bijv. spraak, gezicht, vingerafdruk, iris, DNA, handschrift, oorafdruk, vingerlengtes, manier van lopen, type-ritme, … Digitale forensics moet het doen met uniek (?) identificerende kenmerken als IP adres, email adres, … Internetten dus niet anoniem! Maar… mogelijk te vervalsen?
Digitale vingerafdrukken? Op sommige computers is er doelbewust een uniek kenmerk aangebracht (bijv. chipkaart serienummer bij de ov-chip kaart) Soms is software-configuratie onbedoeld ook uniek: de meeste web-browsers zijn uniek door specifieke versies & instellingen van de browser en plugins Probeer het zelf op http://panopticlick.eff.org Geheugenchips bevatten bij start-up een willekeurige, (bijna) vaste waarden
Profiling van mogelijke criminelen of terroristen? (Hoe) zou je adhv betalingsverkeergegevens een potentiele terrorist kunnen opsporen, voor de aanslag? Alleenstaande man? Buitenlandse voor- of achternaam? Eenmalig groot bedrag gestort in cash/uit buitenland? Nooit pintransacties op vrijdagen? Nooit grote pintransacties op do/vrijdag-avond? of: lid van schietverening & extreem rechtse partij? De verleiding - en politieke druk - voor profiling kan groot zijn (function creep!), maar de foutmarges (false positives/false negatives) moet extreem klein zijn wil het werken!
Conclusies We laten steeds meer digitale sporen na zonder dat we ons hiervan bewust zijn? De “virtualiteit” maakt digitale forensics soms lastig dader of forensische onderzoeker kan data wijzigen De gigantische hoeveelheden data, in combinatie met mogelijkheid tot automatisch doorzoeken, maken het veelbelovend Bijv. alle vingerafdrukken in dit gebouw opnemen is onbegonnen werk; al het netwerkverkeer opslaan niet Of vinden we dit ongewenst? Bijv: ‘google’ een foto van iemand (bijv. op facebook)
Vragen?