Luc Beirens, FCCU - V-ICT-OR vzw

Bedrijven, overheden
en ICT incidenten
Zoveel goede redenen voor het invoeren en respecteren van
beleidslijnen en gedragscodes voor ICT-gebruik bij de overheid
V-ICT-OR
Mechelen, 25 juni 2010
© Luc Beirens - Federal Computer Crime Unit - Directie economische en financiële criminaliteit

Presentatie
Luc Beirens
Hoofdcommissaris
Hoofd Federal Computer Crime Unit

Wat komen we hier doen ?
Met overzicht van reële ICT-misdrijven
in diverse domeinen aantonen :
waar de afwezigheid van ICT beleid heeft geleid tot
moeilijke situaties (privaat, arbeidrechterlijk én penaal)
waar de incidentafhandeling en samenwerking met
politie verkeerd (of niet naar behoren) is gelopen
Verduidelijken :
waar en hoe de politie bijstand kan leveren
hoe daar proactief aan kan worden gewerkt

ICT tendenzen vandaag
eSociety eGov => omschakeling van processen
in reële wereld naar cyberspace (e-loketten)
Steeds vaker industriële processen via netwerken
Alles over breedband IP-platformen :
zowel (vertrouwelijke) data als telefonie
Grote mobiliteit van eindgebruiker en
serveromgevingen (virtualisatie & cloud computing)
Complexiteit van netwerkomgevingen
Enorme opkomst van sociale netwerken
Maar nog vaak oude authenticatieprocessen
=> gebruikersnaam en paswoord
Vaak onwetende, nonchalante, roekloze eindgebruiker

Gevolgen ?
Zeer grote afhankelijkheid van ICT
Noodzaak
continuïteit in ICT werking
beschikbaarheid en correctheid van data
ICT = kwetsbaarheid van maatschappij
Eindgebruiker = zwakste schakel
Noodzaak om
incidenten te onderkennen en af te handelen
Op wettelijke manier sporen te vrijwaren

Wat is er te beschermen ?
Gegevens (opgeslagen of in transmissie)
Onze eigen persoonlijke gegevens
Gegevens van burgers / klanten
Info over de organisatie (beleid/werking/fin)
Ons informaticasysteem
Interne / externe systemen
Netwerkverbindingen
Opslag en backup-systemen
Privacywet : organisatorische en technische
maatregelen om persoonsgegevens te beveiligen

De incidenten
Dreigingen van binnenuit

De incidenten van binnenuit
Ontslagen sysadmin uit koerierbedrijf
Badge / hardcoded pw / WE bezoek
Harde werker in financiële instelling (gok-maffia)
WE & nacht / testmodus / kritiek systeem
Dansende cursor in securitybedrijf
belang info / onvoorzien incident
Onderzoek naar intern info-lek in openbaar bestuur
keylogger / mailonderzoek => wie is hier crimineel ?
PC-park beheer van op afstand gemeentebestuur
PC actief / „s nachts / afspraken met ICT firma
Bedrijfswebsite infecteert bezoekers
outsourcing / QC ? / controle op “extra” functies ?

Samenvattende besluiten
Belangrijke momenten in een bedrijf
aanwerving / vertrek van sleutelpersoneel
audit of testperiodes van systemen
nacht, WE en verlofperiodes
Cruciaal : toezicht op (intern & extern)
ICT-personeel met sysadmin bevoegdheid
Toezicht op én toegang tot kritieke resources:
zowel HW, SW als “gebruikers”data
Gerechtvaardigd toezicht op poorten naar
buitenwereld

Samenvattende besluiten
Respect voor privacy-, telecom- & strafwetgeving
=> geen kwaad met kwaad bestrijden
Verplichte doormelding van incidenten aan
management / overheid
Correcte behandeling van mogelijk
bewijsmateriaal
Indien misdrijf – mogelijk externe gevolgen
=> strafrechtelijke & burgerlijke aansprakelijkheid

Of geven we het zelf weg ?
Onze afgeschreven PC‟s worden...
verkocht via tweedehands markt ?
geschonken aan een school ?
gedumpt in het containerpark ?
Formateren verwijdert niet steeds data
=> wiping
=> magnetische schok
=> fysieke vernietiging van harddisks

De incidenten
Dreigingen van buitenuit

Mijn e-organisatie
Uitbestede website
Intern netwerk
Firewall
Internet
DMZ met webserver
Backup server of
Cloud computing site

Cyber criminaliteit vandaag
e-fraude => geef je geld aan crimineel
spam => sys overload / start voor eFraude
Defacing => website aangevallen
hacking =>
geldtransfers vanaf gehackt systeem
spionnage => welke info hebben jullie ?
gebruik van gehackt system =>
storage / spam / proxy / DNS / CC / DDOS
DDOS distributed denial of service attacks

Defacing
Vervanging homepage
Politieke boodschappen
Afhankelijk van wereldgebeurtenissen
Imagoschade / verstoorde werking e-loket
Zeer frequent en vaak weerkerend
Gebrek aan patches van webserver
Slechte beveiliging ftp upload

Beeldt u even in...

Hacking ?
Toch niet mijn PC / onze server?
Waarom zouden ze mijn PC hacken ?
24/24 online
breedband
grote opslagcapaciteit
slecht beveiligd (?)
draadloos (?)

Misbruik van Internetconnectie
Toegang tot
netwerkapparaten
Interceptie
Netwerkverkeer

Cmd
Hacker
Info
IRC Server
Webserver
Toegang
Server
Crashed
geblokkeerd
My IP is x.y.z.z
Botnet aanval op een webserver

Belangrijke DDOS aanvallen
UK 2004 : gambling website down (+ hoster + ISP)
NL 2005 : 2 botnets : millions of zombies
BE 2005 : DDOS on chatnetwork of Media firms
BE 2005 : DDOS on Firm during social conflict
US 2006 : Blue security firm stops activity
after days of DDOS attacks
SE 2006 : Website Gov and Police down
due to DDOS after police raid on P2P
EE 2007 : Widespread DDOS attack on Estonia
after incidents on moving soldier statue
Georgia 2008 : Cyber war during military conflict
Botnets met miljoenen zombies 40 Gbps aanvalsvolume

Infecties van eindgebruikers
Bronnen & verspreidingsmechanismen
E-mail / peer2peer / website downloads
Sociale netwerken : bericht van een contact
Automultiplicatie => 1 in LAN=> alle in LAN
Via usb / cdrom / externe HD
Voorkomen ?
Goede AV op internetpoort én op PC
Bewuste en opgevoede eindegebruiker

Hacker
Command &
Control Server
Knowledge server
trigger
event
Internet
MW update
Very frequent MW
update request
Webserver / node
Malware update server
Malware update / knowledge transfer

Veel servers die hackers ?
Ja ! De uwe...
Infectie sysadmin of webmaster PC
Onderschepping userid + pw ftp
Installatie van botnetserver op uw server
In verborgen directories
CC of malware distributie

Hacker
Take out of
order
Analyse to
identify hacker
& zombies
Botnetservers
CC, Knowledge, MW
Stop activity
Bring to court
Preserve evidence
Report incident
Internet
Webserver / node
Identify critical infrastructure
Alarm procedures
Preserve evidence
Prevent infection & MW autopropagation
Detect infections & desinfect
Actions against botnet architecture

Beter voorkomen ...

Preventieve tips
Stel algemene ICT gebruiksrichtlijn op
ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid
Stel ICT veiligheidsverantwoordelijke aan
bewustmaking & controle van de toepassing
Bereid ICT-incidentendossier voor met :
plan van architectuur / toepassingen / databanken / interconnecties
Namen + tel / GSM van verantwoordelijke per systeem / DB/ toep
Namen + tel / GSM van leveranciers HW / SW / Maintenance / BU
Tel Cert.be
Tel + permanentienummer FCCU

Preventieve tips
Wees duidelijk in outsourcing van maintenance
rapportering van alle interventies op afstand
Scherm bedrijfskritische systemen/ toepassingen / data af
van op Internet aangesloten netwerken !
Installeer recente Anti-virus ; Firewall en actualiseer
Synchroniseer de systeemklok regelmatig
Activeer en controleer loggings IN en OUT
Voer audits uit op loggings
Maak en test backups en bewaar ze veilig !

Hoe ICT-fraude ontdekken ?
Het gevaar van buitenaf : een portier
Activatie en nazicht logfiles (sporen van activiteit)
Firewall, proxy-servers,
Toezicht op gebruik bandbreedte / stockagecapaciteit
Het gevaar van binnenin : de nachtwaker
Toezicht op gebruikersgedrag
(Volume, tijdstip, connectiepunt, simultane aansluiting)
Vergelijken van gebruikersprofielen (bvb met “normaal”)
Aandacht voor “kwetsbare” momenten in ICT systeem
(testfases, conversiemomenten, …)
Audits ICT-ontwikkeling & werking ICT systeem

Waar zijn sporen in het ICT systeem ?
Op de PC van de « verdachte »
Opgeslagen (gewiste) gebruikersbestanden
Tijdelijke bestanden (werkbestanden toepassingen)
Loggingbestanden van toepassingen
Bestanden Internet activiteit (surf, mail, news,…)
Binnen het bedrijfsnetwerk
Gebruikerslijst / toegangsrechten
Logfiles (aansluiting op netwerk, internetgebruik)
Andere partijen
Telefoonmaatschappij (oproep naar Internet toegangs P)
Internet toegangs P (Internetsessies : dynamisch adres)
Internet diensten P (sporen gebruikte Internetdiensten)

Soms genezen ...

Vermoeden van fraude - en nu ?
Wettelijk werken – respect wetten & CAO 81
Finaliteit (misdrijven, econ & fin belang, ICT veiligheid, gebruikersregels)
Proprotionaliteit (minimale inbreuk op privacy, in fases)
Transparantie (op basis van duidelijke policy)
Diagnose stellen / oorzaak & sporen vinden
Bewijsmateriaal integer bewaren
Integraal, ongewijzigd met garantie
Noodzaak om specialisten in te schakelen
Zeker van klacht => politie
Zo niet => Cert.be / forensisch ICT auditor

Toch slachtoffer van ICT crime
Bij ontvangst dreigingen
reageer snel … maar niet naar afperser
bewaar berichten in originele (digitale vorm) => contact FCCU
Bij effectieve incidenten :
Verbreek verbinding (indien niet door aanvaller veroorzaakt)
Log maximaal info inzake laatste ICT activiteit en exact tijdstip
Vermijd actie op het systeem (sporen aanvaller niet bezoedelen)
beveilig fysiek het systeem
beperk de interne communicatie tot het strikt noodzakelijke
Leg klacht neer bij politie of parket …

Toch slachtoffer van ICT crime
Voor incidentafhandeling
Bereken schade : direct en indirecte
Evalueer : schade belangrijker dan herstarten ?
Herstarten belangrijk
Plaats reserve systeem online
Of minimaal : maak full backup vóór herinstallatie
Schade belangrijker : laat situatie onaangeroerd
Bij heropstarten
Wijzig alle paswoorden en liefst ook gebruikersnamen
Pas opnieuw verbinden indien alle oorzaken verholpen

Nieuw : Cert.be
www.cert.be
Computer emergency response team
Overheidsdienst maar geen politie
Hulp bij incidenten
Diagnose en advies
Beeldvorming
Doorverwijzing naar FCCU indien nodig

ICT-crime (hacking/sabotage/spionage) :
Waar een klacht neerleggen ?
Bij een politiedienst …
Lokale Politie => niet gespecialiseerd
=> niet aangewezen voor ICT crime
=> wel aanspreekpunt voor alle vormen van fraudes over internet
Federale Gerechtelijke Politie van het Arrondissement (FGP)
=> beter maar … regionale CCU => the right place to be
Federal Computer Crime Unit => 24/7 contact =>
Bellen indien aanvallen op vitale / kritieke ICT systemen
… of onmiddellijk bij een magistraat ?
Procureur des Konings => zal toch opdracht naar politie zenden
=> kan beslissen om niet te vervolgen
Onderzoeksrechter => klacht met burgerlijke partijstelling
=> verplichting om de zaak te onderzoeken

E-Politie organisatie en taken
Federale
Politie
Nationaal
niveau
34 personen
Federale
Politie
Regionaal
niveau
145 personen
Lokaal niveau
Federale
Politie
LokalePolitie
Politie
1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact
Beleid
Training
Materiaal
Internet &
efraude
creditcard fraud
internetfraude
www.ecops.be
meldpunt
Bijstand forensisch
ICT onderzoek
centrale diensten
en regionale CCU‟s
Strijd ICT crime
Telecomfraude
Intelligence
25 Regionale Computer Crime Units (1 – 3 Arrondissementen)
Bijstand voor
huiszoekingen, forensic ICT analyse,
verhoor, internet opsporingen
Eerste lijnspolitie
“Bevriezing” van de situatie tot aankomst RCCU of FCCU
Selectie en bewaring van digitale gegevensdragers
Onderzoek ICT crime dossiers
(evt bijgestaan door FCCU)

Ons dienstenaanbod
Nemen uw klacht op
Afstapping op de plaats van het misdrijf
Vormen een beeld van het slachtoffer systeem
(Image) kopie van systeem (indien mogelijk)
Analyse van logfiles
Internet opsporingen (Identificatie, lokalisatie)
Huiszoekingen
Verhoor van betrokken partijen
Forensische analyse van IBN ICT apparatuur
Opstellen van een « begrijpbaar » rapport

Medewerking met politie en justitie
ICT-infrastruktuur = complex (Wet informaticacrim)
Wettelijke voorziening tot medewerking
informatie verstrekken
(architectuur, encryptie, werking,...)
handelingen stellen om toegang te krijgen
decrypteren
Wettelijke mogelijkheid tot netwerkzoeking
Weigering medewerking is strafbaar
Gebonden aan beroepsgeheim !

Waarom zeker gedragscode ?
Art 550 bis Strafwetboek voorziet in
externe hacking
interne hacking
Interne hacking slechts strafbaar indien :
met bedriegelijk opziet
door bevoegdheidsoverschrijding
Welke bevoegdheidsoverschrijding indien
nergens bepaald wat moet / mag / niet mag ?

Vragen ?
FCCU invalspunt ICT-crime
Federal Computer Crime Unit
Directie bestrijding economische en financiële criminaliteit
Notelaarstraat 211
1000 Brussel
Kantooruren 02 743 74 74
Fax 02 743 74 19
luc.beirens@fccu.be Diensthoofd
dirk.vekemans@fccu.be Hoofd Sectie Operaties
Doorverwijzing naar RCCU / onmiddellijke bijstand