Herausforderungen bei Ermittlungen im modernen Cyberspace

Transkript

1 ACFE Luncheon Herausforderungen bei Ermittlungen im modernen Cyberspace Maurizio Tuccillo Dr. phil. nat

2 Was ist der moderne Cyberspace? (1) Computer: PC, Laptop, Tablet, Smartphone, Server, Netzwerk,... Internet: Netzwerk, Server, PC, Laptop, Tablet, Smartphone,... Finanzsysteme: Kassen, Zahlterminals, Geldautomaten, Billetautomaten,... (kritische) Infrastrukturen: (Mobil-)Telefonnetze, Fernsehnetz, Energieversorung, Verwaltung,... Internet der Dinge: Alarmanlagen, Liftsteuerungen, Heizungen, Kühlschränke,...

3 Was ist der moderne Cyberspace? (2) Weltumspannendes Geflecht von Systemen! Alle können mitmachen, solange er/sie/es IP spricht! Fehlende Regulierung!

4 Wer nutzt das Internet? Statistik BFS 8/2013

5 Wie erfolgt der Zugang zum Internet? Statistik BFS 8/2013

6 Wozu wird das Internet benutzt? Statistik BFS 8/2013

7 Weshalb Ermittlungen im Cyberspace? 1. These: Kriminalität gehört untrennbar zur Gesellschaft 2. These: Kriminalität ist notwendig für die Gesellschaft Keine Gesellschaft ohne Kriminalität? Ohne Kriminalität keine Gesellschaft!, Prof. Dr. Hermann Strasser & Henning van den Brink, Institut für Soziologie der Universität Duisburg-Essen

8 Melani Halbjahresbericht 2012/II (1) Abhängigkeit von der IKT im täglichen Leben immer und überall Schon seit einigen Jahren sind nicht mehr bloss Computer oder Server die Zielscheibe von Cyberangriffen. Jedes Informatiksystem kann ins Visier von Hackern geraten. Eine elektronisch gesicherte Hoteltüre zu knacken, ist nur eines von vielen Beispielen, Die Abhängigkeit der heutigen Gesellschaft von der IKT ist sehr facettenreich. Phishing auf dem Vormarsch Klassisches Phishing, also das Versenden von s, welche das Opfer in irgendeiner Weise verführen wollen, persönliche Daten anzugeben, ist auf dem Vormarsch. Die Angreifer haben es dabei vor allem auf Kreditkartendaten abgesehen.

9 Melani Halbjahresbericht 2012/II (2) DDoS massive Angriffe gegen diverse US-Banken Angriffe auf die Verfügbarkeit von Webseiten, so genannte Distributed Denial of Service (DDoS), zählen mittlerweile zu den Hauptgefahren von Netzwerken. Seit September 2012 werden zum Teil massive DDoS-Angriffe gegen diverse US-Banken gemeldet. Auch andere Angriffe auf die Verfügbarkeit sorgten für Schlagzeilen. Cyberkonflikt in Nahost Update Im Rahmen der Untersuchungen zur Schadsoftware «Flame» entdeckte die russische Antiviren-Software-Herstellerin Kaspersky Lab eine weitere Schadsoftware, welche «Gauss» getauft wurde. Es handelt sich bei Gauss um den ersten bekannten Fall, in dem eine ausgeklügelte, mutmasslich staatliche Spionagesoftware typische Charakteristiken eines Onlinebanking-Trojaners aufweist.

10 Ausmass von Cyberkriminalität Indikator KOBIK-Meldungen Quelle: KOBIK Rechenschaftsbericht 2012

11 Strafbare Handlungen Quelle: KOBIK Rechenschaftsbericht 2012

12 Erfolg von Ermittlungen Quelle: KOBIK Rechenschaftsbericht 2012

13 Phasen des IT-Forensik-Prozess Identification Erkennung: Was ist relevant? Wo liegt es? Sicherstellung: Wie nehme ich es mit? Preservation Konservierung: Wie bewahre ich es unversehrt auf? Bergung/Aufbereitung: Ist es gelöscht oder verschlüsselt? Analysis Interpretation: Was bedeutet es? Presentation Presentation: Schlüssige, belegbare Darstellung des Befunds!

14 1. Identification Spurensicherung Ziel: Erkennen und festhalten der digitalen Spurenlage in bestmöglicher Qualität Fokus auf materielle Spuren Vollständigkeit der Daten anstreben Authentizität der Daten belegen Integrität der Daten gewährleisten Sicheres Bewahren der Daten gewährleisten Nachvollziehbarkeit und Überprüfbarkeit des Vorgehens sicherstellen

15 Spurensicherung Erfolgsfaktoren Hohes Mass an technischem Wissen Erfahrung in der forensischen Arbeit Aktualität bezüglich technischen Möglichkeiten und deren Nutzung Leistungsfähige technische Infrastruktur Strukturiertes, geplantes Vorgehen gemäss Checklisten Gute Fallkenntnisse und fundierte Vorinformationen Zeitnähe zum untersuchten Vorgang!

16 2. Preservation Konservierung / Aufbereitung Ziel: Bewahren und erschliessen der digitalen Spurenlage Fokus auf immaterielle Spuren Vollständigkeit der Informationen anstreben Authentizität der Informationen belegen Integrität der Daten gewährleisten Sicheres Bewahren der Daten gewährleisten Nachvollziehbarkeit und Überprüfbarkeit des Vorgehens sicherstellen

17 Konservierung Datenspiegelung Forensische Datenspiegelung vor Ort Physischer oder logischer Schreibschutz Hashwert-Berechnung Spezielle Container-Formate Eigene Zieldatenträger Physische Sicherstellung der Datenträger Forensische Datenspiegelung im Labor Bedingungen wie oben

18 Datenspiegelung Vollständigkeit 1:1-Abbild der (digitalen) Spurenlage erstellen Sektor basierte Datenspiegelung Unabhängig von ursprünglicher physikalischer Spur Unabhängig von Dateninhalt Unabhängig von möglicher Interpretation Nach Möglichkeit Kopie der Datenspiegelung erstellen Nachfolgende Arbeitsschritte ausschliesslich an Kopie Original (und erste Datenspiegelung) bleiben unangetastet

19 Aufbereitung Erschliessen (unvollständig) gelöschter Daten Dateisystem-Artefakte Kopien (Backup) Erschliessen (passwort-)geschützter Daten Erschliessen verschlüsselter Daten Lesbar machen von Inhalten durch geeignete Dekodierung Umfeld Datenanalyse / Reverse Engineering Konsolidieren der gesamten Spurenlage Indexierung aller Textinformationen Extraktion von Bildmaterial Bilden von Timelines

20 3. Analysis Interpretation Ziel: Deuten und erklären der digitalen Spurenlage Fokus auf Gesamtheit der immateriellen Spuren Entwickeln von Hypothesen Plausibilisierung resp. Falsifizierung der Hypothesen Authentizität der Informationen belegen Dokumentation als Basis für die Präsentation

21 4. Presentation Ziel: Objektive Erklärung der Entstehung der Spurenlage Fokus auf das Verstehen des (Tat-)Hergangs Belegbare Deutung der Spurenlage Nachvollziehbare Vorgehensweise des Prozesses

22 Limitationen der IT-Forensik Komplexität Komplexität ermöglicht erst das Entstehen einer digitalen Spur Z. B. s. Digitales Austauschprinzip Komplexität erschwert das Finden einer digitalen Spur Identification: Orientierung! Sicherstellung! Preservation: Aufbereitung! Analysis: Freiheitsgrade! Alternativdeutungen!

23 Limitationen der IT-Forensik Datenmenge Je mehr Daten verfügbar sind desto mehr Informationen lassen sich extrahieren! Datenmenge erschwert das Finden einer digitalen Spur Identification: Orientierung! Sicherstellung! Preservation: Aufbereitung! Analysis: Nadel im Heuhaufen!

24 Problemfeld: explodierende Datenmengen 3TB ELEMENTS BLACK Speicherkapazität: Bilder (jpg) Movies (mpeg) Sicherstellungszeit: 25h über USB 20h über SATA-II Zieldatenträger: 3 TB nicht komprimierbare Inhalte

25 Limitationen der IT-Forensik Sicherheit Informationssicherheit begünstigt das Entstehen einer digitalen Spur! Z. B. s. Herstellen von Fallbezug Sicherheit erschwert das Finden einer digitalen Spur Identification: Orientierung! Sicherstellung! Preservation: Aufbereitung! Erschliessung!

26 Problemfeld: Datenverschlüsselung Out-of-the-box Easy to use High Quality Brechraten: 1000 pps pro GPU (BitLocker) 1 Gpps pro GPU (AES) Zeitverbrauch: PW 6-stellig 30y AES y

27 Limitationen der IT-Forensik Kommunikation (Daten-)Kommunikation begünstigt das Entstehen einer digitalen Spur! Synthese von Komplexität, Datenmenge, Sicherheit, u.v.m. Kommunikation erschwert das Finden einer digitalen Spur Identification: Orientierung! Sicherstellung! Preservation: Aufbereitung! Erschliessung! Analysis: Interpretation!

28 Problemfeld: Cloud Storage Out-of-the-box Easy to use High Quality??? Security??? Feststellen? Lokalisieren? Zugriff?

29 Cyber-Strategien im Überblick Melani Halbjahresbericht 2012/II Bis anhin haben über 20 Länder umfassende Cyber- Sicherheitsstrategien veröffentlicht. Die meisten Länder betrachten die Bedrohung aus dem Cyber-Raum als eine der grössten Herausforderungen im 21. Jahrhundert und integrieren als Folge von zunehmenden Cybervorfällen (z.b. Stuxnet, Duqu, Flame und Ghostnet) Cybersicherheit in die nationalen sicherheits-politischen Strategien (z.b. Frankreich, die Niederlande und Grossbritannien).

30 Cyber als Querschnittsaufgabe Melani Halbjahresbericht 2012/II Die Koordination der behördlichen Aktivitäten auf politischstrategischer sowie auf technisch-operativer Ebene wird als zentral betrachtet. Dies, weil die Bewältigung von Cyber-Risiken als Querschnittsaufgabe verstanden wird und verschiedene Ämter und Akteure im Rahmen ihres Kernauftrags neu auch die Cyber- Ausprägung abdecken müssen.

31 Zusammenarbeit Melani Halbjahresbericht 2012/II Public Private Partnership Da ein Grossteil der öffentlichen Infrastrukturdienstleistungen in privaten Händen liegt, ist die Zusammenarbeit von Staat und Wirtschaft wesentlich. In den meisten Strategien wird der Bedarf ausgewiesen, diese Zusammenarbeit zu intensivieren und zu institutionalisieren. Internationale Zusammenarbeit Die wirksame Minimierung von Cyber-Risiken bedarf auch einer stärkeren internationalen Zusammenarbeit. Diese Erkenntnis findet sich in allen Cyber-Strategien wieder.

32 Fragen