The attack - PowerPoint PPT Presentation

1 / 13
About This Presentation
Title:

The attack

Description:

The attack Elektroniske spor er et sentralt tema i stadig flere konfliktsituasjoner og kriminalsaker H vard Ibenholt Meldahl Dataetterforsker Ibas AS – PowerPoint PPT presentation

Number of Views:55
Avg rating:3.0/5.0
Slides: 14
Provided by: Hvar3
Category:
Tags: attack | sonicwall

less

Transcript and Presenter's Notes

Title: The attack


1
The attack
Elektroniske spor er et sentralt tema i
stadig flere konfliktsituasjoner og kriminalsaker
  • Håvard Ibenholt Meldahl
  • Dataetterforsker Ibas AS

2
Electronic traces evidence ?
  • Digitale bevis følger samme standard som andre
    bevis.
  • De må være
  • Autentiske (ekte)
  • Nøyaktige/korrekte
  • fullstendige
  • Overbevisende for en domstol
  • I overenstemmelse med gjeldende lover og regler,
    m.a.o tillat å føre som bevis
  • Digitale bevis er nyttige og ofte helt avgjørende
    ved saksføring og vitneforklaringer i
    rettstivster
  • hva har skjedd
  • hvem er ansvarlig

Dokumenterte metoder og prosesser (chain of
custody)Resultatet må holde rettslig standard
3
our scenario
  • Datasikring utføres på involvert datautstyr
    (tilhørende firmaet)
  • Analyse av kompromittert utstyr, finne ut hva som
    faktisk har skjedd
  • Produsere og presentere dokumentasjon for kunde

4
1 Analysis of servers
Webtjener med ulovlig innhold, spor i loggfiler
viser ip- adressen til hjemme-pc (VPN NAT pool
adresse) Filserver viser et stort antall
filreferanser som er Kopiert og slettet på et
bestemt tidspunkt
Epost server viser en del kommunikasjon fra denne
ip- adressen på samme Tidspunkt Kopi av
sensitive dok. Funnet på hjemme-pc brukers
omr. på filserver
5
1 Analysis of server
Bruker var ikke på kontoret (sjekk av
adgangskontroll) da dette skjedde var bruker på
hjemmekontoret ? Analyse av logger fra
domenepålogging, DHCP lease og VPN server viser
at bruker var pålogget via VPN på
aktuelle tidspunkt
6
2 analysis of computer
  • Data fra hjemme-pc sikres for analyse
  • Bruker innrømmer å ha vært hjemme og at maskinen
    har vært online i aktuelt tidsrom
  • Analysen konsentreres nå om å finne elektroniske
    spor
  • som bekrefter at hjemme-pc er kilden for de
    hendelser vi
  • har dokumentert på server.
  • Finnes det noen spor som kan knytte bruker til
    hendelsen
  • eller kan maskinen være hacket slik bruker påstår
    ?

7
2 analysis of computer
  • Windows OS logger default veldig lite.Std.
    eventlogger viser ikke noe spesielt, men vi
    merker oss alarm/feil/advarsel på NAV
  • En nærmere sjekk viser at NAV har detektert en
    trojaner uten å kunne fjerne viruset
  • Et rootkit ser ut til å være installert. Ved
    hjelp av software utføres - MD5 hash
    filsignatur sammenligning - ser etter filer
    brukt el. modifisert av et rootkit - skjulte
    filer - skanner innhold i tekst og binærfiler
  • Dette er et nytt spor som kanskje fritar bruker
    av hjemmepc fra mistanke

8
3 Hypothesis
bedrift
Internett
VPN
Server
Hjemmepc
Hypotesen vi jobber etter nå er at maskinen er
hacket, og benyttet som en kilde for angrepet for
å skjule hackers virkelige identitet
9
4 Tracking the Internet
Internett
ISP kan dokumentere mye unormal trafikk til pc.
Dette kommer fra en bestemt ip-adresse Både ISP
og et oppslag i en Whois database bekrefter at
adressen tilhører et ip-nett i Sverige Vi
kontakter denne ISPn og får opplyst at adressen
tilhører en proxy server
Her stopper ofte en privat etterforskning da vi
ikke har myndighet til å hente ut disse loggene.
10
4 Tracking the Internet
En sammenligning av logger viser at det finnes
spor etter samme proxy-adresse i bedriftens
egne logger
Administrator på proxyen kan spore opprinnelig
kilde og utlevere loggen (politiet har myndighet
til dette)
Kilde-ip fører oss tilbake til en linux maskin i
Norge (samme som i foredrag 1)
Nå har vi to elektroniske spor som peker tilbake
på samme kilde hackeren kan sirkles inn
11
4 tracking the Internet
Maskinen beslaglegges og analyseresDet blir
funnet spor etter overvåking og kartlegging av
hjemmepcen
Et spor viser at en anonym proxytjeneste har vært
benyttet til å aksessere en åpen port på
hjemmepcen
Hackerverktøyene som ble funnet på hjemmepcen
finnes det ingen spor etter på denne maskinen
Det finnes heller ingen spor etter aktivitetene
som ble utført på bedriftens server. Ingen
kopier av fildata eller andre spor kan bevise en
slik kobling
12
5 Report and documentation
Vår rapport vil dokumentere de elektroniske
sporene vi har samlet inn. De elektroniske
sporene bekrefter hypotesen vi har jobbet etter.
Vi har chain of evidence som ser ut til å
knytte linux maskinen til skadeverket, men det er
for mange løse tråder til å trekke en entydig
konklusjon
Ibas har nå etterforsket og presentert de
elektroniske sporene i denne saken. Neste trinn
blir i samråd med advokaten å finne ut hva som
skal gjøres videre
13
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "The attack" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!