Elektronick dkazy a jejich zskvn Trendy v internetov
- Slides: 15
Elektronické důkazy a jejich získávání. . . Trendy v internetové bezpečnosti Praha 26. 2. 2009 Ing. Zdeněk Blažek, CSc. CISM E-mail: zdenek. blazek@icnk. cz zdenek. blazek@commerzbank. com GSM: 603200858
Elektronické důkazy a jejich získávání. . . Agenda ØSoučasná kriminalita v kyberprostoru ØNové trendy v e-kriminalitě ØSběr elektronických důkazů ØOdhalování stop ØElektronické důkazy a jak k nim přistupovat ØPostupy pro zajišťování/sběr důkazů – chybí standardizace ØVztah stopy a fyzické osoby – IM ØUchovávání elektronických důkazů ØProblémy legislativy
Elektronické důkazy a jejich získávání. . . Ubývá čistě virových útoků – poslední masový virový útok cca. před 2 lety (pokud nepočítáme Conficker nyní- šíří se přes USB zařízení a sdílené adresáře. . . ) n Přibývá škodlivých útoků typu phishing (i personalizovaný - whaling), pharming, vishing, smishing n Objevují se nové hrozby – root kit, boot kit n Přibývá krádeží identity (seznamky, dopisy - nigerijská mafie. . . ) n Objevují se ve zvýšené míře útoky typu DDo. S n Micromalware n Spam n Sociální hacking n Údery proti mobilním sítím n „Horká“ elektronická válka – probíhá neustále Problém n Stopy zachycené po útoku nevedou ke konkrétnímu viníku n Konec na anonymních proxy serverech, kdesi na východě n Obdobně napadeny stovky institucí n Trestatelnost? ? ? Zákony zde sice jsou, ale jsou téměř nevymahatelné. n
Elektronické důkazy a jejich získávání. . . n Ø Ø Ø Kde hledat Phishing: na PC uživatele – mail, na serverech, přes které útok probíhal Pharming: na PC uživatele – host soubor, mail, DNS serverech, Web serverech, bezpečnostní a aktivní síťové prvky (firewall, směrovač. . . ) Napadení počítače – na PC HDD, RAM, prohlížeč, cache Kriminální činnost uživatele PC – PC, přenosná media, datové nosiče, web mail servery, web servery podezřelého, . . Porušení autorských práv – PC, datové nosiče, jiné e-přístroje, nástroje na prolamování ochran, nelegální sw. . . Dětská pornografie – PC uživatele, web servery, web mail servery, datové nosiče. .
Elektronické důkazy a jejich získávání. . . n Zajištění stop/důkazů - problémy ¨ Problém s kvalifikací zasahujícího personálu ¨ Absence aktuálních postupů pro zajišťování stop ¨ Zničení mnoha stop v průběhu akce na místě (nekvalifikované odpojování prostředků výpočetní techniky, špatné technologické postupy při zacházení se stopami. . ) ¨ Problém zásahu do zapnutých prostředků výpočetní techniky na místě (sejmutí klasických stop vs. zajištění digitálních stop) ¨ Dokumentace
Elektronické důkazy a jejich získávání. . . n Zásada zajištění/získání důkazů Zajištění by mělo být nezpochybnitelné ¨ Platí následující: ¨ n n n Digitální důkazy vedou k dalším důkazům. . . Podporují jiné důkazy. . . Lze je použít i jako přímé důkazy, ale pouze za předpokladu, že je prokázán beze zbytku vztah k určité osobě/firmě a jsou dobře zdokumentovány. Takové důkazy musí být získány legálním a nezpochybnitelným způsobem. Musí se dodržet zásada minimálního počtu změn (nejlepší změna je žádná změna) a pokud jsou již potřeba, je nutno je dokonale zdokumentovat. Musíme být schopni prokázat, že to co máme je identické s tím, co jsme dostali. Naše analýza musí být opakovatelná.
Elektronické důkazy a jejich získávání. . . 4 kroky procesu získání důkazu Získání dat – identifikace nutno identifikovat typ informace, která je k dispozici nutno definovat i způsob , jak tuto informaci získat Konzervace – problém v čase!!! Minimální počet změn Jakákoliv změna musí být dokumentována Možnost prokázání toho, že co mám nyní je identické s tím, co jsem dostal Analýza dat Výtah – binární nebo hexadecimální tvar, normálně nečitelné Proces – čitelné Vyhodnocení – vyžaduje hlubší porozumění problematice a souvislostem Opakovatelnost – analýza by měla být opakovatelná (problémem je doba opakovatelnosti) Prezentace/publikování Určeno: advokáti, soudy, . . Přijetí závisí na: Způsobu prezentace (je to srozumitelné? ) Zkušenosti a kvalifikaci přednášejícího Důvěryhodnosti procesů použitých pro sběr a analýzu důkazů Opakovatelnosti (důležité před soudem)
Elektronické důkazy a jejich získávání. . . n n n Procedury, týkající se digitálních důkazů Všechny země mají své vlastní postupy pro zpracování digitálních důkazů, ale společné je následující: ¨ Data by se neměla měnit, ale lze je/měla by se kopírovat ¨ Někdy je nutný přístup k původním datům – přistupující osoba musí být kompetentní a kontrolovatelná ¨ O takových aktivitách musí existovat auditní záznam ¨ Přistupující osoba nese odpovědnost za to, že práce bude provedena správně a v souladu s používanými postupy Co by měl zahrnovat „nejlepší“ důkaz: ¨ Původní disk/datový nosič ¨ Kopie původního disku/datového nosiče ¨ Výtahy z disku/datového nosiče ¨ Záznamy z analýzy dat Pořadí dle významu a použitelnosti
Elektronické důkazy a jejich získávání. . . n n n Postupy pro zajišťování a sběr důkazů jsou relativně dobře zpracovány od okamžiku, kdy jsou u specialisty, ale v případě tzv. „first responders“, lze nalézt mnoho nedostatků. Důsledek – mnoho důkazů je zničeno, znehodnoceno. . . Dokumentační postupy Pečlivost, souvislost ¨ Kdo, co, kde, kdy, jak, proč – má býti obsaženo ¨ Nutnost demonstrovat pozornost i k procedurálním detailům ¨ Držet se zásady mít nutnou a postačující dokumentaci – ne maximální ¨
Elektronické důkazy a jejich získávání. . . n n n Kdo, co, kde, kdy, jak, proč – má býti obsaženo v důkazu. Kdo je důležité. . . !!! Biometrika není spolehlivá, běžně dostupné metody jde snadno obejít. Čipové karty a jiné prostředky jsou nákladné (používá zejména podniková sféra) a často neprůkazné. Chybí elektronický průkaz totožnosti. Vzhledem k bezpečnostní situaci nelze předpokládat jeho uplatnění v IT v blízké budoucnosti Obecně platí, že v IT není dobře zvádnutý problém řízení identity. Příklady: ¨ Prostředky IT bez hesel ¨ Primitivní hesla ¨ Hesla napsaná na IT prostředcích (samolepky, pod klávesnicí. . . ) ¨ Nezabezpečené prostředky, snadný průnik zvenčí a možnost zneužití těchto prostředků (PC, PDA, mobilní telefony. . . ) ¨ Soukromá sféra nepoužívá téměř jiné zabezpečovací prostředky než hesla. ¨ Uživatelská jména často vůbec nesouvisí s jmény uživatelů. ¨. . .
Elektronické důkazy a jejich získávání. . . n Zákonů mnoho, ale v zásadě jsou často kontraproduktivní ¨ ¨ ¨ Antihackerský zákon v Německu: 202 c St. G (znemožňuje práci bezpečnostním firmám, usnadnil práci zločincům) Zbytečná kriminalizace jedinců, kteří se „provinili“ pouze nevědomostí Snaha o paušalizaci Chybí snaha o prostudování současné legislativy a její aplikaci na digitální prostředí Komplikované zákony, kterým lidé nerozumí, ale mají se dle nich řídit.
Elektronické důkazy a jejich získávání. . . n n n n Problém identifikace – pokud je můj počítač zneužit k útoku, uložení dat apod. jsem trestatelný? Jde o problém prostředků výpočetní techniky, užívané zejména mladistvými. Zákony v určitých zemích umožňují stíhat jedince, kteří danou zemi nikdy nenavštívili, ale dle tamních zákonů se dopustili trestného činu, který však nemusí být v jejich domově trestný. Problémy transferu nehmotných statků beze cla, DPH apod. Daňové úniky Problém reklamací – obchodní vztahy přes internet Problém vojenský – e-špionáž ¨ Konflikty mezi státy, příklad: n www. peaminister. ee (Website of the prime minister): unreachable n www. mkm. ee (Ministry of Economic Affairs and Communications): unreachable n www. sisemin. gov. ee (Ministry of Internal Affairs): unreachable n www. vm. ee (Ministry of Foreign Affairs): unreachable n www. valitsus. ee (Estonian Government): unreachable n www. riigikogu. ee (Estonian Parliament): unreachable Problém průmyslový – průmyslová špionáž Otázka: Existuje vůle tyto problémy řešit na mezinárodní úrovni? Legislativa tomu zatím neodpovídá.
Děkuji za pozornost
Dodatek – některé normy a předpisy n Convention on Cybercrime ¨ Budapest, n 23. XI. 2001 Additional Protocol to the Convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems ¨ Strasbourg, 28. I. 2003
EU direktivy (vybrané) n n n EU Data Retention Directive (2006/24/EC) Tel. Co EU Data Protection Directive (EU DPD) The directive covers the processing of personal data, including automatically processed data and manual data in a filing system. Basel II The Basel II regulation intends to better align bank capital requirements with underlying risk. Basel II applies to global financial services organizations, specifically internationally-active banks with assets greater than $250 billion or foreign exposures greater than $10 billion. UK Data Protection Act The act makes it a legal obligation for anyone processing personal data to establish good practice in managing and using the data. Money Laundering Regulations 2003 Businesses must appoint a money laundering reporting officer (MLRO) to train employees on the relevant principals and requirements of the legislation, verify the identity of new clients, and maintain records of client identification and transactions for five years. The Companies Act 1985 (Investment Companies and Accounting and Audit Amendments) Regulations 2005 These sets of regulations amend the Companies Act of 1985 and introduce the need for an Operating and Financial Review. This must contain a fair review of the business of the company and a description of the principal risks and uncertainties facing the company. This review must also include business analysis via key performance indicators. Privacy and Electronic Communication Regulations 2003 (EC Directive) The legislation protects the public from electronic marketing practices that cause nuisance, offence, and invasion of privacy. The Freedom of Information Act 2000 --UK The act states that public authority information cannot be altered, defaced, or destroyed. Public authorities need to implement effective records and document management systems. The Turnbull Guidance 1999 Known as "Internal Control: Guidance for Directors on the Combined Code, " this regulation's principal aim is to encourage companies to identify and manage internal and external risk within their organizations. EU Annex 11, Computerized Systems The central consideration of this regulation is that "records are accurately made and protected against loss or damage or unauthorized alteration so that there is a clear and accurate audit trail throughout the manufacturing process". Payment Card Industry (PCI) Data Security Standard This information security standard enables merchants and service providers to assess their security status by using a single set of security requirements for all payment organizations.