Luc Beirens, FCCU - V-ICT-OR vzw
Luc Beirens, FCCU - V-ICT-OR vzw
Luc Beirens, FCCU - V-ICT-OR vzw
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Bedrijven, overheden<br />
en <strong>ICT</strong> incidenten<br />
Zoveel goede redenen voor het invoeren en respecteren van<br />
beleidslijnen en gedragscodes voor <strong>ICT</strong>-gebruik bij de overheid<br />
V-<strong>ICT</strong>-<strong>OR</strong><br />
Mechelen, 25 juni 2010<br />
© <strong>Luc</strong> <strong>Beirens</strong> - Federal Computer Crime Unit - Directie economische en financiële criminaliteit
Presentatie<br />
<strong>Luc</strong> <strong>Beirens</strong><br />
Hoofdcommissaris<br />
Hoofd Federal Computer Crime Unit
Wat komen we hier doen ?<br />
Met overzicht van reële <strong>ICT</strong>-misdrijven<br />
in diverse domeinen aantonen :<br />
waar de afwezigheid van <strong>ICT</strong> beleid heeft geleid tot<br />
moeilijke situaties (privaat, arbeidrechterlijk én penaal)<br />
waar de incidentafhandeling en samenwerking met<br />
politie verkeerd (of niet naar behoren) is gelopen<br />
Verduidelijken :<br />
waar en hoe de politie bijstand kan leveren<br />
hoe daar proactief aan kan worden gewerkt
<strong>ICT</strong> tendenzen vandaag<br />
eSociety eGov => omschakeling van processen<br />
in reële wereld naar cyberspace (e-loketten)<br />
Steeds vaker industriële processen via netwerken<br />
Alles over breedband IP-platformen :<br />
zowel (vertrouwelijke) data als telefonie<br />
Grote mobiliteit van eindgebruiker en<br />
serveromgevingen (virtualisatie & cloud computing)<br />
Complexiteit van netwerkomgevingen<br />
Enorme opkomst van sociale netwerken<br />
Maar nog vaak oude authenticatieprocessen<br />
=> gebruikersnaam en paswoord<br />
Vaak onwetende, nonchalante, roekloze eindgebruiker
Gevolgen ?<br />
Zeer grote afhankelijkheid van <strong>ICT</strong><br />
Noodzaak<br />
continuïteit in <strong>ICT</strong> werking<br />
beschikbaarheid en correctheid van data<br />
<strong>ICT</strong> = kwetsbaarheid van maatschappij<br />
Eindgebruiker = zwakste schakel<br />
Noodzaak om<br />
incidenten te onderkennen en af te handelen<br />
Op wettelijke manier sporen te vrijwaren
Wat is er te beschermen ?<br />
Gegevens (opgeslagen of in transmissie)<br />
Onze eigen persoonlijke gegevens<br />
Gegevens van burgers / klanten<br />
Info over de organisatie (beleid/werking/fin)<br />
Ons informaticasysteem<br />
Interne / externe systemen<br />
Netwerkverbindingen<br />
Opslag en backup-systemen<br />
Privacywet : organisatorische en technische<br />
maatregelen om persoonsgegevens te beveiligen
De incidenten<br />
Dreigingen van binnenuit
De incidenten van binnenuit<br />
Ontslagen sysadmin uit koerierbedrijf<br />
Badge / hardcoded pw / WE bezoek<br />
Harde werker in financiële instelling (gok-maffia)<br />
WE & nacht / testmodus / kritiek systeem<br />
Dansende cursor in securitybedrijf<br />
belang info / onvoorzien incident<br />
Onderzoek naar intern info-lek in openbaar bestuur<br />
keylogger / mailonderzoek => wie is hier crimineel ?<br />
PC-park beheer van op afstand gemeentebestuur<br />
PC actief / „s nachts / afspraken met <strong>ICT</strong> firma<br />
Bedrijfswebsite infecteert bezoekers<br />
outsourcing / QC ? / controle op “extra” functies ?
Samenvattende besluiten<br />
Belangrijke momenten in een bedrijf<br />
aanwerving / vertrek van sleutelpersoneel<br />
audit of testperiodes van systemen<br />
nacht, WE en verlofperiodes<br />
Cruciaal : toezicht op (intern & extern)<br />
<strong>ICT</strong>-personeel met sysadmin bevoegdheid<br />
Toezicht op én toegang tot kritieke resources:<br />
zowel HW, SW als “gebruikers”data<br />
Gerechtvaardigd toezicht op poorten naar<br />
buitenwereld
Samenvattende besluiten<br />
Respect voor privacy-, telecom- & strafwetgeving<br />
=> geen kwaad met kwaad bestrijden<br />
Verplichte doormelding van incidenten aan<br />
management / overheid<br />
Correcte behandeling van mogelijk<br />
bewijsmateriaal<br />
Indien misdrijf – mogelijk externe gevolgen<br />
=> strafrechtelijke & burgerlijke aansprakelijkheid
Of geven we het zelf weg ?<br />
Onze afgeschreven PC‟s worden...<br />
verkocht via tweedehands markt ?<br />
geschonken aan een school ?<br />
gedumpt in het containerpark ?<br />
Formateren verwijdert niet steeds data<br />
=> wiping<br />
=> magnetische schok<br />
=> fysieke vernietiging van harddisks
De incidenten<br />
Dreigingen van buitenuit
Mijn e-organisatie<br />
Uitbestede website<br />
Intern netwerk<br />
Firewall<br />
Internet<br />
DMZ met webserver<br />
Backup server of<br />
Cloud computing site
Cyber criminaliteit vandaag<br />
e-fraude => geef je geld aan crimineel<br />
spam => sys overload / start voor eFraude<br />
Defacing => website aangevallen<br />
hacking =><br />
geldtransfers vanaf gehackt systeem<br />
spionnage => welke info hebben jullie ?<br />
gebruik van gehackt system =><br />
storage / spam / proxy / DNS / CC / DDOS<br />
DDOS distributed denial of service attacks
Defacing<br />
Vervanging homepage<br />
Politieke boodschappen<br />
Afhankelijk van wereldgebeurtenissen<br />
Imagoschade / verstoorde werking e-loket<br />
Zeer frequent en vaak weerkerend<br />
Gebrek aan patches van webserver<br />
Slechte beveiliging ftp upload
Beeldt u even in...
Hacking ?<br />
Toch niet mijn PC / onze server?<br />
Waarom zouden ze mijn PC hacken ?<br />
24/24 online<br />
breedband<br />
grote opslagcapaciteit<br />
slecht beveiligd (?)<br />
draadloos (?)
Misbruik van Internetconnectie<br />
Toegang tot<br />
netwerkapparaten<br />
Interceptie<br />
Netwerkverkeer
Cmd<br />
Hacker<br />
Info<br />
IRC Server<br />
Webserver<br />
Toegang<br />
Server<br />
Crashed<br />
geblokkeerd<br />
My IP is x.y.z.z<br />
Botnet aanval op een webserver
Belangrijke DDOS aanvallen<br />
UK 2004 : gambling website down (+ hoster + ISP)<br />
NL 2005 : 2 botnets : millions of zombies<br />
BE 2005 : DDOS on chatnetwork of Media firms<br />
BE 2005 : DDOS on Firm during social conflict<br />
US 2006 : Blue security firm stops activity<br />
after days of DDOS attacks<br />
SE 2006 : Website Gov and Police down<br />
due to DDOS after police raid on P2P<br />
EE 2007 : Widespread DDOS attack on Estonia<br />
after incidents on moving soldier statue<br />
Georgia 2008 : Cyber war during military conflict<br />
Botnets met miljoenen zombies 40 Gbps aanvalsvolume
Infecties van eindgebruikers<br />
Bronnen & verspreidingsmechanismen<br />
E-mail / peer2peer / website downloads<br />
Sociale netwerken : bericht van een contact<br />
Automultiplicatie => 1 in LAN=> alle in LAN<br />
Via usb / cdrom / externe HD<br />
Voorkomen ?<br />
Goede AV op internetpoort én op PC<br />
Bewuste en opgevoede eindegebruiker
Hacker<br />
Command &<br />
Control Server<br />
Knowledge server<br />
trigger<br />
event<br />
Internet<br />
MW update<br />
Very frequent MW<br />
update request<br />
Webserver / node<br />
Malware update server<br />
Malware update / knowledge transfer
Veel servers die hackers ?<br />
Ja ! De uwe...<br />
Infectie sysadmin of webmaster PC<br />
Onderschepping userid + pw ftp<br />
Installatie van botnetserver op uw server<br />
In verborgen directories<br />
CC of malware distributie
Hacker<br />
Take out of<br />
order<br />
Analyse to<br />
identify hacker<br />
& zombies<br />
Botnetservers<br />
CC, Knowledge, MW<br />
Stop activity<br />
Bring to court<br />
Preserve evidence<br />
Report incident<br />
Internet<br />
Webserver / node<br />
Identify critical infrastructure<br />
Alarm procedures<br />
Preserve evidence<br />
Prevent infection & MW autopropagation<br />
Detect infections & desinfect<br />
Actions against botnet architecture
Beter voorkomen ...
Preventieve tips<br />
Stel algemene <strong>ICT</strong> gebruiksrichtlijn op<br />
<strong>ICT</strong> beveiligingsbeleid als onderdeel globaal veiligheidsbeleid<br />
Stel <strong>ICT</strong> veiligheidsverantwoordelijke aan<br />
bewustmaking & controle van de toepassing<br />
Bereid <strong>ICT</strong>-incidentendossier voor met :<br />
plan van architectuur / toepassingen / databanken / interconnecties<br />
Namen + tel / GSM van verantwoordelijke per systeem / DB/ toep<br />
Namen + tel / GSM van leveranciers HW / SW / Maintenance / BU<br />
Tel Cert.be<br />
Tel + permanentienummer <strong>FCCU</strong>
Preventieve tips<br />
Wees duidelijk in outsourcing van maintenance<br />
rapportering van alle interventies op afstand<br />
Scherm bedrijfskritische systemen/ toepassingen / data af<br />
van op Internet aangesloten netwerken !<br />
Installeer recente Anti-virus ; Firewall en actualiseer<br />
Synchroniseer de systeemklok regelmatig<br />
Activeer en controleer loggings IN en OUT<br />
Voer audits uit op loggings<br />
Maak en test backups en bewaar ze veilig !
Hoe <strong>ICT</strong>-fraude ontdekken ?<br />
Het gevaar van buitenaf : een portier<br />
Activatie en nazicht logfiles (sporen van activiteit)<br />
Firewall, proxy-servers,<br />
Toezicht op gebruik bandbreedte / stockagecapaciteit<br />
Het gevaar van binnenin : de nachtwaker<br />
Toezicht op gebruikersgedrag<br />
(Volume, tijdstip, connectiepunt, simultane aansluiting)<br />
Vergelijken van gebruikersprofielen (bvb met “normaal”)<br />
Aandacht voor “kwetsbare” momenten in <strong>ICT</strong> systeem<br />
(testfases, conversiemomenten, …)<br />
Audits <strong>ICT</strong>-ontwikkeling & werking <strong>ICT</strong> systeem
Waar zijn sporen in het <strong>ICT</strong> systeem ?<br />
Op de PC van de « verdachte »<br />
Opgeslagen (gewiste) gebruikersbestanden<br />
Tijdelijke bestanden (werkbestanden toepassingen)<br />
Loggingbestanden van toepassingen<br />
Bestanden Internet activiteit (surf, mail, news,…)<br />
Binnen het bedrijfsnetwerk<br />
Gebruikerslijst / toegangsrechten<br />
Logfiles (aansluiting op netwerk, internetgebruik)<br />
Andere partijen<br />
Telefoonmaatschappij (oproep naar Internet toegangs P)<br />
Internet toegangs P (Internetsessies : dynamisch adres)<br />
Internet diensten P (sporen gebruikte Internetdiensten)
Soms genezen ...
Vermoeden van fraude - en nu ?<br />
Wettelijk werken – respect wetten & CAO 81<br />
Finaliteit (misdrijven, econ & fin belang, <strong>ICT</strong> veiligheid, gebruikersregels)<br />
Proprotionaliteit (minimale inbreuk op privacy, in fases)<br />
Transparantie (op basis van duidelijke policy)<br />
Diagnose stellen / oorzaak & sporen vinden<br />
Bewijsmateriaal integer bewaren<br />
Integraal, ongewijzigd met garantie<br />
Noodzaak om specialisten in te schakelen<br />
Zeker van klacht => politie<br />
Zo niet => Cert.be / forensisch <strong>ICT</strong> auditor
Toch slachtoffer van <strong>ICT</strong> crime<br />
Bij ontvangst dreigingen<br />
reageer snel … maar niet naar afperser<br />
bewaar berichten in originele (digitale vorm) => contact <strong>FCCU</strong><br />
Bij effectieve incidenten :<br />
Verbreek verbinding (indien niet door aanvaller veroorzaakt)<br />
Log maximaal info inzake laatste <strong>ICT</strong> activiteit en exact tijdstip<br />
Vermijd actie op het systeem (sporen aanvaller niet bezoedelen)<br />
beveilig fysiek het systeem<br />
beperk de interne communicatie tot het strikt noodzakelijke<br />
Leg klacht neer bij politie of parket …
Toch slachtoffer van <strong>ICT</strong> crime<br />
Voor incidentafhandeling<br />
Bereken schade : direct en indirecte<br />
Evalueer : schade belangrijker dan herstarten ?<br />
Herstarten belangrijk<br />
Plaats reserve systeem online<br />
Of minimaal : maak full backup vóór herinstallatie<br />
Schade belangrijker : laat situatie onaangeroerd<br />
Bij heropstarten<br />
Wijzig alle paswoorden en liefst ook gebruikersnamen<br />
Pas opnieuw verbinden indien alle oorzaken verholpen
Nieuw : Cert.be<br />
www.cert.be<br />
Computer emergency response team<br />
Overheidsdienst maar geen politie<br />
Hulp bij incidenten<br />
Diagnose en advies<br />
Beeldvorming<br />
Doorverwijzing naar <strong>FCCU</strong> indien nodig
<strong>ICT</strong>-crime (hacking/sabotage/spionage) :<br />
Waar een klacht neerleggen ?<br />
Bij een politiedienst …<br />
Lokale Politie => niet gespecialiseerd<br />
=> niet aangewezen voor <strong>ICT</strong> crime<br />
=> wel aanspreekpunt voor alle vormen van fraudes over internet<br />
Federale Gerechtelijke Politie van het Arrondissement (FGP)<br />
=> beter maar … regionale CCU => the right place to be<br />
Federal Computer Crime Unit => 24/7 contact =><br />
Bellen indien aanvallen op vitale / kritieke <strong>ICT</strong> systemen<br />
… of onmiddellijk bij een magistraat ?<br />
Procureur des Konings => zal toch opdracht naar politie zenden<br />
=> kan beslissen om niet te vervolgen<br />
Onderzoeksrechter => klacht met burgerlijke partijstelling<br />
=> verplichting om de zaak te onderzoeken
E-Politie organisatie en taken<br />
Federale<br />
Politie<br />
Nationaal<br />
niveau<br />
34 personen<br />
Federale<br />
Politie<br />
Regionaal<br />
niveau<br />
145 personen<br />
Lokaal niveau<br />
Federale<br />
Politie<br />
LokalePolitie<br />
Politie<br />
1 Federal Computer Crime Unit - 24 / 7 (inter)nationaal contact<br />
Beleid<br />
Training<br />
Materiaal<br />
Internet &<br />
efraude<br />
creditcard fraud<br />
internetfraude<br />
www.ecops.be<br />
meldpunt<br />
Bijstand forensisch<br />
<strong>ICT</strong> onderzoek<br />
centrale diensten<br />
en regionale CCU‟s<br />
Strijd <strong>ICT</strong> crime<br />
Telecomfraude<br />
Intelligence<br />
25 Regionale Computer Crime Units (1 – 3 Arrondissementen)<br />
Bijstand voor<br />
huiszoekingen, forensic <strong>ICT</strong> analyse,<br />
verhoor, internet opsporingen<br />
Eerste lijnspolitie<br />
“Bevriezing” van de situatie tot aankomst RCCU of <strong>FCCU</strong><br />
Selectie en bewaring van digitale gegevensdragers<br />
Onderzoek <strong>ICT</strong> crime dossiers<br />
(evt bijgestaan door <strong>FCCU</strong>)
Ons dienstenaanbod<br />
Nemen uw klacht op<br />
Afstapping op de plaats van het misdrijf<br />
Vormen een beeld van het slachtoffer systeem<br />
(Image) kopie van systeem (indien mogelijk)<br />
Analyse van logfiles<br />
Internet opsporingen (Identificatie, lokalisatie)<br />
Huiszoekingen<br />
Verhoor van betrokken partijen<br />
Forensische analyse van IBN <strong>ICT</strong> apparatuur<br />
Opstellen van een « begrijpbaar » rapport
Medewerking met politie en justitie<br />
<strong>ICT</strong>-infrastruktuur = complex (Wet informaticacrim)<br />
Wettelijke voorziening tot medewerking<br />
informatie verstrekken<br />
(architectuur, encryptie, werking,...)<br />
handelingen stellen om toegang te krijgen<br />
decrypteren<br />
Wettelijke mogelijkheid tot netwerkzoeking<br />
Weigering medewerking is strafbaar<br />
Gebonden aan beroepsgeheim !
Waarom zeker gedragscode ?<br />
Art 550 bis Strafwetboek voorziet in<br />
externe hacking<br />
interne hacking<br />
Interne hacking slechts strafbaar indien :<br />
met bedriegelijk opziet<br />
door bevoegdheidsoverschrijding<br />
Welke bevoegdheidsoverschrijding indien<br />
nergens bepaald wat moet / mag / niet mag ?
Vragen ?<br />
<strong>FCCU</strong> invalspunt <strong>ICT</strong>-crime<br />
Federal Computer Crime Unit<br />
Directie bestrijding economische en financiële criminaliteit<br />
Notelaarstraat 211<br />
1000 Brussel<br />
Kantooruren 02 743 74 74<br />
Fax 02 743 74 19<br />
luc.beirens@fccu.be Diensthoofd<br />
dirk.vekemans@fccu.be Hoofd Sectie Operaties<br />
Doorverwijzing naar RCCU / onmiddellijke bijstand