1 / 15

Elektronické důkazy a jejich získávání ... Trendy v internetové bezpečnosti Praha 26.2. 2009

Elektronické důkazy a jejich získávání ... Trendy v internetové bezpečnosti Praha 26.2. 2009. Ing. Zdeněk Blažek, CSc. CISM E-mail: zdenek.blazek@icnk.cz zdenek.blazek@commerzbank.com GSM: 603200858. Elektronické důkazy a jejich získávání. Agenda Současná kriminalita v kyberprostoru

noleta
Download Presentation

Elektronické důkazy a jejich získávání ... Trendy v internetové bezpečnosti Praha 26.2. 2009

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Elektronické důkazy a jejich získávání ...Trendy v internetové bezpečnostiPraha26.2. 2009 Ing. Zdeněk Blažek, CSc. CISM E-mail: zdenek.blazek@icnk.cz zdenek.blazek@commerzbank.com GSM: 603200858

  2. Elektronické důkazy a jejich získávání ... • Agenda • Současná kriminalita v kyberprostoru • Nové trendy v e-kriminalitě • Sběr elektronických důkazů • Odhalování stop • Elektronické důkazy a jak k nim přistupovat • Postupy pro zajišťování/sběr důkazů – chybí standardizace • Vztah stopy a fyzické osoby – IM • Uchovávání elektronických důkazů • Problémy legislativy

  3. Elektronické důkazy a jejich získávání ... • Ubývá čistě virových útoků – poslední masový virový útok cca. před 2 lety (pokud nepočítáme Conficker nyní- šíří se přes USB zařízení a sdílené adresáře...) • Přibývá škodlivých útoků typu phishing (i personalizovaný - whaling), pharming, vishing, smishing • Objevují se nové hrozby – root kit, boot kit • Přibývá krádeží identity (seznamky, dopisy - nigerijská mafie...) • Objevují se ve zvýšené míře útoky typu DDoS • Micromalware • Spam • Sociální hacking • Údery proti mobilním sítím • „Horká“ elektronická válka – probíhá neustále Problém • Stopy zachycené po útoku nevedou ke konkrétnímu viníku • Konec na anonymních proxy serverech, kdesi na východě • Obdobně napadeny stovky institucí • Trestatelnost??? Zákony zde sice jsou, ale jsou téměř nevymahatelné.

  4. Elektronické důkazy a jejich získávání ... • Kde hledat • Phishing: na PC uživatele – mail, na serverech, přes které útok probíhal • Pharming: na PC uživatele – host soubor, mail, DNS serverech, Web serverech, bezpečnostní a aktivní síťové prvky (firewall, směrovač...) • Napadení počítače – na PC HDD, RAM, prohlížeč, cache • Kriminální činnost uživatele PC – PC, přenosná media, datové nosiče, web mail servery, web servery podezřelého, .... • Porušení autorských práv – PC, datové nosiče, jiné e-přístroje, nástroje na prolamování ochran, nelegální sw... • Dětská pornografie – PC uživatele, web servery, web mail servery, datové nosiče....

  5. Elektronické důkazy a jejich získávání ... • Zajištění stop/důkazů - problémy • Problém s kvalifikací zasahujícího personálu • Absence aktuálních postupů pro zajišťování stop • Zničení mnoha stop v průběhu akce na místě (nekvalifikované odpojování prostředků výpočetní techniky, špatné technologické postupy při zacházení se stopami....) • Problém zásahu do zapnutých prostředků výpočetní techniky na místě (sejmutí klasických stop vs. zajištění digitálních stop) • Dokumentace

  6. Elektronické důkazy a jejich získávání ... • Zásada zajištění/získání důkazů • Zajištění by mělo být nezpochybnitelné • Platí následující: • Digitální důkazy vedou k dalším důkazům... • Podporují jiné důkazy... • Lze je použít i jako přímé důkazy, ale pouze za předpokladu, že je prokázán beze zbytku vztah k určité osobě/firmě a jsou dobře zdokumentovány. Takové důkazy musí být získány legálním a nezpochybnitelným způsobem.Musí se dodržet zásada minimálního počtu změn (nejlepší změna je žádná změna) a pokud jsou již potřeba, je nutno je dokonale zdokumentovat.Musíme být schopni prokázat, že to co máme je identické s tím, co jsme dostali. Naše analýza musí být opakovatelná.

  7. Elektronické důkazy a jejich získávání ... • 4 kroky procesu získání důkazu • Získání dat – identifikace • nutno identifikovat typ informace, která je k dispozici • nutno definovat i způsob , jak tuto informaci získat • Konzervace – problém v čase!!! • Minimální počet změn • Jakákoliv změna musí být dokumentována • Možnost prokázání toho, že co mám nyní je identické s tím, co jsem dostal • Analýza dat • Výtah – binární nebo hexadecimální tvar, normálně nečitelné • Proces – čitelné • Vyhodnocení – vyžaduje hlubší porozumění problematice a souvislostem • Opakovatelnost – analýza by měla být opakovatelná (problémem je doba opakovatelnosti) • Prezentace/publikování • Určeno: advokáti, soudy, ....Přijetí závisí na: • Způsobu prezentace (je to srozumitelné?) • Zkušenosti a kvalifikaci přednášejícího • Důvěryhodnosti procesů použitých pro sběr a analýzu důkazů • Opakovatelnosti (důležité před soudem)

  8. Elektronické důkazy a jejich získávání ... • Procedury, týkající se digitálních důkazů • Všechny země mají své vlastní postupy pro zpracování digitálních důkazů, ale společné je následující: • Data by se neměla měnit, ale lze je/měla by se kopírovat • Někdy je nutný přístup k původním datům – přistupující osoba musí být kompetentní a kontrolovatelná • O takových aktivitách musí existovat auditní záznam • Přistupující osoba nese odpovědnost za to, že práce bude provedena správně a v souladu s používanými postupy • Co by měl zahrnovat „nejlepší“ důkaz: • Původní disk/datový nosič • Kopie původního disku/datového nosiče • Výtahy z disku/datového nosiče • Záznamy z analýzy dat Pořadí dle významu a použitelnosti

  9. Elektronické důkazy a jejich získávání ... • Postupy pro zajišťování a sběr důkazů jsou relativně dobře zpracovány od okamžiku, kdy jsou u specialisty, ale v případě tzv. „first responders“, lze nalézt mnoho nedostatků. • Důsledek – mnoho důkazů je zničeno, znehodnoceno... • Dokumentační postupy • Pečlivost, souvislost • Kdo, co, kde, kdy, jak, proč – má býti obsaženo • Nutnost demonstrovat pozornost i k procedurálním detailům • Držet se zásady mít nutnou a postačující dokumentaci – ne maximální

  10. Elektronické důkazy a jejich získávání ... • Kdo, co, kde, kdy, jak, proč – má býti obsaženo v důkazu. Kdo je důležité...!!! • Biometrika není spolehlivá, běžně dostupné metody jde snadno obejít. • Čipové karty a jiné prostředky jsou nákladné (používá zejména podniková sféra) a často neprůkazné. • Chybí elektronický průkaz totožnosti. Vzhledem k bezpečnostní situaci nelze předpokládat jeho uplatnění v IT v blízké budoucnosti • Obecně platí, že v IT není dobře zvádnutý problém řízení identity. Příklady: • Prostředky IT bez hesel • Primitivní hesla • Hesla napsaná na IT prostředcích (samolepky, pod klávesnicí...) • Nezabezpečené prostředky, snadný průnik zvenčí a možnost zneužití těchto prostředků (PC, PDA, mobilní telefony...) • Soukromá sféra nepoužívá téměř jiné zabezpečovací prostředky než hesla. • Uživatelská jména často vůbec nesouvisí s jmény uživatelů. • .....

  11. Elektronické důkazy a jejich získávání ... • Zákonů mnoho, ale v zásadě jsou často kontraproduktivní • Antihackerský zákon v Německu: 202c StG (znemožňuje práci bezpečnostním firmám, usnadnil práci zločincům) • Zbytečná kriminalizace jedinců, kteří se „provinili“ pouze nevědomostí • Snaha o paušalizaci • Chybí snaha o prostudování současné legislativy a její aplikaci na digitální prostředí • Komplikované zákony, kterým lidé nerozumí, ale mají se dle nich řídit.

  12. Elektronické důkazy a jejich získávání ... • Problém identifikace – pokud je můj počítač zneužit k útoku, uložení dat apod. jsem trestatelný? Jde o problém prostředků výpočetní techniky, užívané zejména mladistvými. • Zákony v určitých zemích umožňují stíhat jedince, kteří danou zemi nikdy nenavštívili, ale dle tamních zákonů se dopustili trestného činu, který však nemusí být v jejich domově trestný. • Problémy transferu nehmotných statků beze cla, DPH apod. • Daňové úniky • Problém reklamací – obchodní vztahy přes internet • Problém vojenský – e-špionáž • Konflikty mezi státy, příklad: • www.peaminister.ee (Website of the prime minister): unreachable • www.mkm.ee (Ministry of Economic Affairs and Communications): unreachable • www.sisemin.gov.ee (Ministry of Internal Affairs): unreachable • www.vm.ee (Ministry of Foreign Affairs): unreachable • www.valitsus.ee (Estonian Government): unreachable • www.riigikogu.ee (Estonian Parliament): unreachable • Problém průmyslový – průmyslová špionáž Otázka: Existuje vůle tyto problémy řešit na mezinárodní úrovni? Legislativa tomu zatím neodpovídá.

  13. Děkuji za pozornost

  14. Dodatek – některé normy a předpisy • Convention on Cybercrime • Budapest, 23.XI.2001 • Additional Protocol to the Convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems • Strasbourg, 28.I.2003

  15. EU direktivy (vybrané) • EU Data Retention Directive (2006/24/EC) TelCo • EU Data Protection Directive (EU DPD)The directive covers the processing of personal data, including automatically processed data and manual data in a filing system. • Basel IIThe Basel II regulation intends to better align bank capital requirements with underlying risk. Basel II applies to global financial services organizations, specifically internationally-active banks with assets greater than $250 billion or foreign exposures greater than $10 billion. • UK Data Protection ActThe act makes it a legal obligation for anyone processing personal data to establish good practice in managing and using the data. • Money Laundering Regulations 2003Businesses must appoint a money laundering reporting officer (MLRO) to train employees on the relevant principals and requirements of the legislation, verify the identity of new clients, and maintain records of client identification and transactions for five years. • The Companies Act 1985 (Investment Companies and Accounting and Audit Amendments) Regulations 2005These sets of regulations amend the Companies Act of 1985 and introduce the need for an Operating and Financial Review. This must contain a fair review of the business of the company and a description of the principal risks and uncertainties facing the company. This review must also include business analysis via key performance indicators. • Privacy and Electronic Communication Regulations 2003 (EC Directive)The legislation protects the public from electronic marketing practices that cause nuisance, offence, and invasion of privacy. • The Freedom of Information Act 2000--UKThe act states that public authority information cannot be altered, defaced, or destroyed. Public authorities need to implement effective records and document management systems. • The Turnbull Guidance 1999Known as "Internal Control: Guidance for Directors on the Combined Code," this regulation's principal aim is to encourage companies to identify and manage internal and external risk within their organizations. • EU Annex 11, Computerized SystemsThe central consideration of this regulation is that "records are accurately made and protected against loss or damage or unauthorized alteration so that there is a clear and accurate audit trail throughout the manufacturing process". • Payment Card Industry (PCI) Data Security StandardThis information security standard enables merchants and service providers to assess their security status by using a single set of security requirements for all payment organizations.

More Related