Aangifte computer criminaliteit, wat heb je nodig
27-10-2006,16:26 door
Wanneer?
Coordinated Universal Time of lokale tijd?. Tijd is erg belangrijk bij het reconstrueren van een misdaad en helemaal bij het onderzoek naar een gehackt systeem. Hier kan een seconde verschil al vragen oproepen. Wat is de tijdzone van het bewijsmateriaal dat aan de politie overhandigd wordt? Is het UTC of lokale tijd? Maar ook wat is het verschil tussen de tijd op het systeem en de werkelijke tijd van een atoom klok. Een hacker maakt gebruik van verschillende stepping stones om zijn doel te bereiken. Indien meerdere van deze stepping stones geïdentificeerd worden is de juiste tijd erg belangrijk. Bewijsmateriaal van verschillende systemen, bijvoorbeeld logfiles, moeten dan met elkaar vergeleken worden. Als dan de juiste tijd niet bekend is kan het voor de onderzoeker zeer moeilijk zijn om bepaalde sporen met zekerheid aan de hacker te koppelen. Het bewijsmateriaal zal dan niet overtuigend zijn en gevolgen kunnen hebben voor de uiteindelijke uitspraak.
Naast de juiste tijd van het systeem is het ook zeer belangrijk om gedetailleerde notities, met datum en tijdstippen van alle handelingen en gesprekken met betrekking tot het incident vast te leggen. Bijvoorbeeld het tijdstip van het draaien van een script om de vluchtige data veilig te stellen. Door het uitvoeren van een dergelijk script worden datums en tijdstippen van bestanden op het gehackte systeem veranderd. Als het juiste tijdstip bekend kunnen de gewijzigde bestanden in het onderzoek uitgesloten worden en roepen zij geen vragen op.
Waar?
Een van de vragen die de politie zal stellen is: “Waar heeft het incident plaatsgevonden?”. Hier wordt de fysieke plaats mee bedoeld. De Nederlandse politie zal geen onderzoek instellen naar de aangifte van een server, die in werkelijkheid in Amerika in een datacenter staat. Ook in het uiteindelijke strafproces vind er een toetsing van een aantal punten plaats (artikel 348 van het Wetboek van Strafvordering). Een van de punten waar naar gekeken wordt is de zogenaamde “locus delicti”, waar heeft het feit plaatsgevonden. Om dit vast te stellen zijn er 3 leren en als aan 1 van deze leren voldaan wordt kan de zaak voor de Nederlandse rechter gebracht worden.
Wie?
De vraag ‘wie?’ heeft niet alleen betrekking op de dader. Hoewel het voor de onderzoeker zeer makkelijk is als de identiteit van de dader op dat moment al bekend is. Deze vraag heeft ook betrekking op personen die tijdens het incident handelingen hebben verricht. Wie heeft het feit ontdekt? Wie heeft dit stukje bewijs veiliggesteld? Om juridisch zeker te zijn moet al het bewijs herleidbaar te zijn en de herkomst mag geen vragen oproepen.
Het is in het verleden wel gebeurd dat werknemers van betrokken bedrijf op IRC hebben zitten chatten met de hacker om op deze manier te achterhalen op welke wijze de hacker toegang had gekregen tot het systeem. Als hiervan logfiles aan de politie worden overhandigd zal de politie moeten weten wie de betrokken werknemer is en deze persoon een korte verklaring afnemen om de herkomst van het bewijs vast te leggen.
In een andere hacking zaak werd de hacker betrapt door de systeembeheerder. Op het moment dat de hacker dit in de gaten had, stuurde hij naar alle ingelogde gebruikers een boodschap waaruit bleek dat hij het systeem ging vernielen. In dit geval is van een aantal mensen die deze boodschap gezien hadden de naam vastgelegd. De hacker kon zich er vervolgens niet meer op beroepen dat hij een “type foutje” gemaakt had.
Welke?
Noteer alle IP adressen en hostnames die aan een gehackt systeem zijn toegekend. IP adressen en hostnames willen nog wel eens veranderen. Deze informatie is vaak later niet meer terug te halen. Dit leidt tot vragen die een zaak minder sterk maken.
Er is een probleem als in het onderzoek bewijs materiaal wordt gevonden met daarbij het IP adres van de gehackte computer en bij de onderzoekers is staat alleen de hostname van het gehackte systeem bekend. Toon dan maar aan dat je bewijs betrekking heeft op de gehackte server. Het IP adres dat op dat moment aan de hostname gekoppeld is hoeft niet hetzelfde IP adres te zijn dat het systeem op het moment van het incident had. Het is dan te hopen dat er een registratie is van de verandering van het IP adres.
Hoe?
Hoe is de hacker binnengekomen? Dat zal waarschijnlijk geweest zijn door een kwetsbaarheid in een van de aangeboden diensten. Een opgave van het betreffende besturingssysteem met versienummer, de draaiende services (bijvoorbeeld ssh, webserver) met patchlevel, kunnen helpen om vast te stellen hoe de hacker is binnengedrongen in het systeem.
Deze wetenschap is zeer belangrijk om dergelijke incidenten in de toekomst te voorkomen. Het kan ook bewijs materiaal zijn dat later in het onderzoek van pas kan komen. Het gaat hier om zogenaamde dader wetenschap.
Het aantreffen van het gebruikte exploit op de pc van de verdachte is geen doorslaggevend bewijs. Het maakt voor hem wel de situatie lastiger.
Hoeveel?
Om de geleden schade op de dader te kunnen verhalen moet de schade wel inzichtelijk zijn. Het is voor slachtoffers van een misdrijf mogelijk om zich te voegen in het strafproces. De strafrechter kan dan op de zitting een schadevergoeding toekennen. Een voorwaarde is wel dat de schade eenvoudig te bepalen is. Te denken valt aan arbeidsloon, materiaal huur en schadevergoedingen aan klanten. Voor vergoeding van immateriële schade zoals reputatie verlies zal een gang naar de civiele rechter gemaakt moeten worden.
Aandachtspunten
Een standaard werkmethode voor hackers is om het netwerk te sniffen voor inlognamen en wachtwoorden. Dit is mogelijk omdat er nog steeds van services gebruik wordt gemaakt waarbij het wachtwoord onversleuteld verstuurd wordt, zoals telnet en FTP. Dit geldt ook voor ophalen van e-mail. Daarom is het aan te bevelen om na een incident van alle gebruikers de wachtwoorden te wijzigen. Het is voor een hacker een stuk eenvoudiger om een systeem van binnenuit te hacken. Hij is immers al binnen en zal alleen hogere rechten willen hebben.
Verder is het aan te bevelen om gebruik te maken van een syslogserver. Dit is een server waarop andere computers hun logs kunnen wegschrijven. Een standaard programma in een hacker’s toolkit is een script dat in de logfiles bepaalde regels wist. Door gebruik te maken van een syslogserver wordt voorkomen dat er gerommeld kan worden met de logfiles. Veel van de bovenstaande vragen kunnen makkelijk beantwoord worden als de logfiles intact beschikbaar zijn.
In Nederland houden naast de politie, ook gespecialiseerde bedrijven, zich bezig met het onderzoeken van incidenten waarbij computers zijn betrokken. Deze kunnen het voorbereidende onderzoek doen, zodat u bij de politie een compleet en mogelijk al opgelost onderzoek kan neerleggen.
Conclusie
Een goede incident response kan alleen plaatsvinden als er van te voren een goed incident response plan gemaakt is. Punten voor een incident response plan zijn:
Coordinated Universal Time of lokale tijd?. Tijd is erg belangrijk bij het reconstrueren van een misdaad en helemaal bij het onderzoek naar een gehackt systeem. Hier kan een seconde verschil al vragen oproepen. Wat is de tijdzone van het bewijsmateriaal dat aan de politie overhandigd wordt? Is het UTC of lokale tijd? Maar ook wat is het verschil tussen de tijd op het systeem en de werkelijke tijd van een atoom klok. Een hacker maakt gebruik van verschillende stepping stones om zijn doel te bereiken. Indien meerdere van deze stepping stones geïdentificeerd worden is de juiste tijd erg belangrijk. Bewijsmateriaal van verschillende systemen, bijvoorbeeld logfiles, moeten dan met elkaar vergeleken worden. Als dan de juiste tijd niet bekend is kan het voor de onderzoeker zeer moeilijk zijn om bepaalde sporen met zekerheid aan de hacker te koppelen. Het bewijsmateriaal zal dan niet overtuigend zijn en gevolgen kunnen hebben voor de uiteindelijke uitspraak.
Naast de juiste tijd van het systeem is het ook zeer belangrijk om gedetailleerde notities, met datum en tijdstippen van alle handelingen en gesprekken met betrekking tot het incident vast te leggen. Bijvoorbeeld het tijdstip van het draaien van een script om de vluchtige data veilig te stellen. Door het uitvoeren van een dergelijk script worden datums en tijdstippen van bestanden op het gehackte systeem veranderd. Als het juiste tijdstip bekend kunnen de gewijzigde bestanden in het onderzoek uitgesloten worden en roepen zij geen vragen op.
Waar?
Een van de vragen die de politie zal stellen is: “Waar heeft het incident plaatsgevonden?”. Hier wordt de fysieke plaats mee bedoeld. De Nederlandse politie zal geen onderzoek instellen naar de aangifte van een server, die in werkelijkheid in Amerika in een datacenter staat. Ook in het uiteindelijke strafproces vind er een toetsing van een aantal punten plaats (artikel 348 van het Wetboek van Strafvordering). Een van de punten waar naar gekeken wordt is de zogenaamde “locus delicti”, waar heeft het feit plaatsgevonden. Om dit vast te stellen zijn er 3 leren en als aan 1 van deze leren voldaan wordt kan de zaak voor de Nederlandse rechter gebracht worden.
- De leer van de lichamelijke gedraging: Waar was de dader fysiek actief? In dit geval, waar zat de hacker achter de computer?
- De leer van het instrument: Waar bevond het instrument waar, de dader zich van bediende of het zijn uitwerking had. In dit geval de locatie van het gehackte systeem.
- De leer van het constitutief gevolg: De plaats waar het gevolg van het delict intrad.
Wie?
De vraag ‘wie?’ heeft niet alleen betrekking op de dader. Hoewel het voor de onderzoeker zeer makkelijk is als de identiteit van de dader op dat moment al bekend is. Deze vraag heeft ook betrekking op personen die tijdens het incident handelingen hebben verricht. Wie heeft het feit ontdekt? Wie heeft dit stukje bewijs veiliggesteld? Om juridisch zeker te zijn moet al het bewijs herleidbaar te zijn en de herkomst mag geen vragen oproepen.
Het is in het verleden wel gebeurd dat werknemers van betrokken bedrijf op IRC hebben zitten chatten met de hacker om op deze manier te achterhalen op welke wijze de hacker toegang had gekregen tot het systeem. Als hiervan logfiles aan de politie worden overhandigd zal de politie moeten weten wie de betrokken werknemer is en deze persoon een korte verklaring afnemen om de herkomst van het bewijs vast te leggen.
In een andere hacking zaak werd de hacker betrapt door de systeembeheerder. Op het moment dat de hacker dit in de gaten had, stuurde hij naar alle ingelogde gebruikers een boodschap waaruit bleek dat hij het systeem ging vernielen. In dit geval is van een aantal mensen die deze boodschap gezien hadden de naam vastgelegd. De hacker kon zich er vervolgens niet meer op beroepen dat hij een “type foutje” gemaakt had.
Welke?
Noteer alle IP adressen en hostnames die aan een gehackt systeem zijn toegekend. IP adressen en hostnames willen nog wel eens veranderen. Deze informatie is vaak later niet meer terug te halen. Dit leidt tot vragen die een zaak minder sterk maken.
Er is een probleem als in het onderzoek bewijs materiaal wordt gevonden met daarbij het IP adres van de gehackte computer en bij de onderzoekers is staat alleen de hostname van het gehackte systeem bekend. Toon dan maar aan dat je bewijs betrekking heeft op de gehackte server. Het IP adres dat op dat moment aan de hostname gekoppeld is hoeft niet hetzelfde IP adres te zijn dat het systeem op het moment van het incident had. Het is dan te hopen dat er een registratie is van de verandering van het IP adres.
Hoe?
Hoe is de hacker binnengekomen? Dat zal waarschijnlijk geweest zijn door een kwetsbaarheid in een van de aangeboden diensten. Een opgave van het betreffende besturingssysteem met versienummer, de draaiende services (bijvoorbeeld ssh, webserver) met patchlevel, kunnen helpen om vast te stellen hoe de hacker is binnengedrongen in het systeem.
Deze wetenschap is zeer belangrijk om dergelijke incidenten in de toekomst te voorkomen. Het kan ook bewijs materiaal zijn dat later in het onderzoek van pas kan komen. Het gaat hier om zogenaamde dader wetenschap.
Het aantreffen van het gebruikte exploit op de pc van de verdachte is geen doorslaggevend bewijs. Het maakt voor hem wel de situatie lastiger.
Hoeveel?
Om de geleden schade op de dader te kunnen verhalen moet de schade wel inzichtelijk zijn. Het is voor slachtoffers van een misdrijf mogelijk om zich te voegen in het strafproces. De strafrechter kan dan op de zitting een schadevergoeding toekennen. Een voorwaarde is wel dat de schade eenvoudig te bepalen is. Te denken valt aan arbeidsloon, materiaal huur en schadevergoedingen aan klanten. Voor vergoeding van immateriële schade zoals reputatie verlies zal een gang naar de civiele rechter gemaakt moeten worden.
Aandachtspunten
Een standaard werkmethode voor hackers is om het netwerk te sniffen voor inlognamen en wachtwoorden. Dit is mogelijk omdat er nog steeds van services gebruik wordt gemaakt waarbij het wachtwoord onversleuteld verstuurd wordt, zoals telnet en FTP. Dit geldt ook voor ophalen van e-mail. Daarom is het aan te bevelen om na een incident van alle gebruikers de wachtwoorden te wijzigen. Het is voor een hacker een stuk eenvoudiger om een systeem van binnenuit te hacken. Hij is immers al binnen en zal alleen hogere rechten willen hebben.
Verder is het aan te bevelen om gebruik te maken van een syslogserver. Dit is een server waarop andere computers hun logs kunnen wegschrijven. Een standaard programma in een hacker’s toolkit is een script dat in de logfiles bepaalde regels wist. Door gebruik te maken van een syslogserver wordt voorkomen dat er gerommeld kan worden met de logfiles. Veel van de bovenstaande vragen kunnen makkelijk beantwoord worden als de logfiles intact beschikbaar zijn.
In Nederland houden naast de politie, ook gespecialiseerde bedrijven, zich bezig met het onderzoeken van incidenten waarbij computers zijn betrokken. Deze kunnen het voorbereidende onderzoek doen, zodat u bij de politie een compleet en mogelijk al opgelost onderzoek kan neerleggen.
Conclusie
Een goede incident response kan alleen plaatsvinden als er van te voren een goed incident response plan gemaakt is. Punten voor een incident response plan zijn:
- Wie is er verantwoordelijk?
- Wie worden er bij betrokken?
- Wanner treedt het in werking?
- Wat is er nodig?
- Wat is het doel van de incident response?
- Een stappenplan
- Netwerkverkeer vastleggen
- Vluchtige data veiligstellen
- Image van het systeem maken
- Systeem herstellen
- Netwerkverkeer vastleggen
- Een checklist van punten die per stap vastgelegd moeten worden
- Het gebruik van een logboek. Waarin vastgelegd wordt wie, wat en wanneer.
- De beschikbaarheid van een toolkit
