Rikskriminalens IT-brottssektion Internrevisorerna 2006-09-12 Bosse Norgren
Dagens predikotext Bosse Norgren? Betongkeps Metodfrågor och säkerheten i bevisningen Internet, spårning Självskydd Fallbeskrivningar
Bosse Norgren? 2 år som civilanställd vid Säpo Ca 20 år som polis 8 år totalt vid Säpo 4 år vid Stockholmspolisen - jaga datortjuvar och -hälare 4 år vid Rikskriminalens IT-brottsrotel - hitta bevis i hårddiskar oavsett brottstyp 1 feb 2000 - Säkerhetschef vid Defcom 14 jan 2002 Tillbaka till IT-brottsroteln 2005-4 + 9 veckor i Thailand
Polisens organisation på IT-brottsområdet Ekobrottsmyndigheten RKP IT-brottssektionen Säkerhetspolisen SKL Externa kontakter -näringsliv -högskolor etc -internationella Totalt ca 120-130 specialutbildade: Poliser, åklagare, Tekniker, skattebrottsutredare Polismyndigheterna (21 st)
IT-brottssektionen Stab (4 pers) IT-forensiska gruppen (6 pers) Internetspaningsgruppen (5 pers) Samordning av brottsrelaterade ITincidenter (3 pers) Barnporrgruppen (7 pers) Budget för 27 fast anställda
Operativ verksamhet 1998: 300 ärenden 1999: 320 ärenden 2000: 333 ärenden 2001: 349 ärenden 2002: 608 ärenden, varav 128 förundersökningar 2003: 666 ärenden 2004: 692 ärenden Vanligaste brotten: Grova narkotikabrott, vålds- och fridsbrott, barnpornografibrott
IT-brott 1986-2004 790 Tillräcklig bemanning? Ärenden Personal 690 590 490 390 290 190 90-10 År 1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 Ärenden 0 2 0 0 3 4 5 10 15 15 15 25 60 300 320 333 348 608 666 692 Personal 0 5 0 0 2 2 2 1 3 3 3 4 6 8 9 11 13 14 15 18
IT-Brottsspecialist, profil Vanlig fråga: Varför anställer ni inte IT-tekniker? Svar: IT-brott borde stavas it-brott Polis (åtminstone en majoritet) Intresse för området Erfarenhet av utredningsarbete Språkkunskaper Har möjlighet att resa
Lagstiftningen Vanlig fråga: Är inte lagstiftningen hopplöst föråldrad? Brottsbalken Skriven för så där 50-60 år sedan Fungerar ändå förvånansvärt bra Teknikneutral Ibland sämre ställt med nyare lagar och förordningar (PUL, LEK)
Statistik Saknas i egentlig mening ingen särskild kodning finns undantag: Dataintrång, automat- /datorbedrägeri Exempel: Hotbrev via pergament och gåspenna Hotbrev via e-post Båda får samma brottskod vid anmälan Ökningen av IT-relaterade brott syns inte i statistiken Resultatet: Vi får (ev) inte tillräckliga resurser
Brottstrender Trenden - det finns ingen trend Alla utredningar har IT-anknytning Organiserad brottslighet utnyttjar IT-kompetens Sociala möten på nätet, parallellvärld Oseriösa aktörer inom e-handel, både varor tjänster Kryptering och andra skydd Underrättelseverksamhet av skiftande karaktär Massiva attacker med skadliga programvaror (virus, maskar, trojaner) Phishing, identitetsstöld, bedrägerier
Metodfrågor och säkerheten i bevisningen Internrevisorerna 2006-09-12 Bosse Norgren
Metoder då, nu och sedan Redan i forntiden - 1985 Insåg vikten av att bevara integriteten i bevismaterialet Starta från diskett - skrivskyddat original Kopiera ut lista över filer Baserat på detta - urval av intressant material Utkopiering till diskett
Metoder då, nu och sedan Yngre bronsålder - 1992 Starta Mac från extern disk Kopiera intressanta filer till externa disken Återskapa raderade filer Spara även dessa på den externa disken Skrivskyddat original
Metoder då, nu och sedan Medeltid - 1995 Spegelkopior såg dagens ljus Från den första nollan eller ettan, till den sista Forensiskt säker kopia Originalet inlåst i säkerhetsskåp All analys i kopian
Metoder då, nu och sedan Nästan nutid - 2000 Grisen - serverkabinett Inga specialtillverkade produkter Juni -99 gör EnCase entré på scenen EnCase från ax till limpa Använde det i Malexanderärendet
Metoder då, nu och sedan Nutid - 2005 Dell med 2 X 3GHz processor, 2GB RAM, 256MB grafikkort Externa hårddisklådor Rakt över disk Nu går vi ett steg längre - hyr från PVIT
Metoder då, nu och sedan Koncept utvecklat i samarbete med PVIT - Basarbetsplats för IT-forensiker MacBook Pro / Mac Pro - Macintosh med Intelprocessorer Kinderägg: Mac OSX Windows XP / Vista Open BSD
Metoder då, nu och sedan Framtiden är redan här Kvantitetsfaktorn - galopperande lagringsutrymme Lagstiftning - restriktiva förslag
Kvantitetsfaktorn Utredare medvetna om digitala bevis Lite dålig koll på vad de förväntar sig få ut av en analys Du kan väl skriva ut det som finns på hårddisken PRINT> Okay, du kan väl titta igenom disken
Lagstiftning Convention on Cyber Crime Sverige undertecknade 23 nov 2001 Feb 2005 utkom Brott och brottsutredning i IT-miljö (överåklagare Gunnel Lindberg) Anpassning av nationell lagstiftning Målet: Sveriges tillträde till och genomförande i svensk rätt av Europarådets konvention om brott i cyberrymden.
Lagstiftning beslagsförbuden, som hindrar beslag av särskilt integritetskänsliga handlingar, görs direkt tillämpliga på elektronisk information. Till dess frågan om att skilja ut information som inte längre skall vara i beslag har lösts bör speglingstekniken därför inte användas rutinmässigt Om det finns starka skäl att tro att informationen som är av betydelse i utredningen har raderats kan detta vara ett särskilt skäl för att använda spegling.
Lagstiftning frågan om kopiering har många olika principiella aspekter och därför måste ses ur ett betydligt vidare perspektiv än vad detta arbete medger. Några förslag om regler för kopiering av beslag läggs därför inte fram. Det finns emellertid goda skäl att överväga frågan i annat sammanhang.
Vad gör vi åt den typen av lagstiftning? Åter till ruta ett: Kopiera ut fillista Välj ut intressanta filer, samråda med åklagaren Åklagaren till tingsrätten Beslut från rätten på vilket material som får kopieras ut Frågan är naturligtvis: Vilka filer är intressanta?
Hur gör vi det? Lösning finns redan i USA Certifikat som styr vilket material vi kommer åt vid kopiering Kan i vissa typer av utredningar underlätta för oss Betydligt kortare handläggningstid Frågan är dock vem det gagnar?
Diskstorlek, kryptering Vi behöver programvara för att accessa live För att kunna komma åt exempelvis: Information från tex RAID-system Monterade, dekrypterade filer / containrar I en snar framtid helkrypterade OS / diskar Sådan programvara finns Kostar dessvärre 10.000$ / licens Lösning på sikt - open source
Internet, spårning
Datoridentitet Alla datorer har en unik identitet IP-adress (t ex 192.168.10.201) IP-adress + en plats att kontrollera adressen = SPÅRNING MÖJLIG! (kanske)
Ett praktikexempel
Received: from smtp1.bahnhof.se (mail.bahnhof.se [213.136.33.1]) by sunny.bahnhof.se (8.8.8+Sun/8.8.8) with ESMTP id VAA14432 for <i2@mail.com>; Mon, 3 Dec 2001 21:55:22 +0100 (MET) Received: from spf4.us4.outblaze.com (205-158-62-26.outblaze.com [205.158.62.26]) by smtp1.bahnhof.se (Postfix) with ESMTP id 8CD9EB8095 for <i2@mail.com>; Mon, 3 Dec 2001 21:55:05 +0100 (MET) Received: from fep02-svc.swip.net (fep02.swip.net [130.244.199.130]) by spf4.us4.outblaze.com (8.11.0/8.11.0) with ESMTP id fb3ksp420640 for <i2@mail.com>; Mon, 3 Dec 2001 20:54:54 GMT Received: from why ([212.151.235.86]) by fep02-svc.swip.net with SMTP id <20011203204527.CAZT20874.fep02-svc.swip.net@why> for <i2@mail.com>; Mon, 3 Dec 2001 21:45:27 +0100 From: "John Doe" <somebody@somewhere.com> To: <i2@mail.com> X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Whois Whois 212.151.235.86 inetnum: 212.151.0.0-212.151.255.255 role: Swipnet Staff address: Tele2 AB/Swedish IP Network address: DNS/IP Registry address: LIR/Local Internet Registry address: Borgarfjordsgatan 16 address: Box 62 address: S-16494 Kista address: SWEDEN phone: +46 8 5626 40 08 fax-no: +46 8 5626 42 10
Hos operatören Fråga till Swipnet: Vem innehade IPadressen 212.151.235.86 vid tidpunkten 2001-12-03 kl 21:45:27(svensk normaltid)? Svar: Vår kund Bosse Norgren, adress
Slutsats Bosse Norgrens konto hos Swipnet har använts när mailet skickades. Har Norgren skickat mailet???
Hos Telia Har Norgrens telefonabonnemang använts för att ringa Swipnets modempool under aktuell tid? Svar: Ja!
Frågor att ställa sig: Vet vi vem som skickade mailet? Hur går vi vidare?
Problem Datorklockor Felaktiga eller saknade loggar Anonymiseringsverktyg Spoofing
Självskydd Internrevisorerna 2006-09-12 Bosse Norgren
Grunden för all säkerhet En kedja är aldrig starkare än sin svagaste länk Server nätverk användare Starka länkar i de två första leden, men när uppfinns den första helt säkra persondatorn? Samt när kan normalanvändaren administrera ens basal säkerhet?
Riskfaktorer Trådlösa nätverk (WLAN) Surfzoner War Driving Någon måste ha hakat på min AP Bredbandstekniken Fler och fler arbetar hemma Jobbet: VPN, PGP, NAV, NIS, FW1 Hemma: MSN, IRC, ICQ, KaZaa, NetBus, Sub7 Slutanvändarna det stora problemet
Hur går det till? Två huvudmetoder: Tillträde via nätet Fysiskt tillträde till datorn
Via nätet Idag finns flera tusen kända rena trojaner Flera hundra av dem har kapacitet att stänga av antivirus-program och personliga brandväggar (om sådana finns) Filhantering och key-logging är standard hos de flesta trojaner
Fysisk tillgång Var står de flesta datorerna? Vem använder dem? Hur är de skyddade? Hur är hanteringen av lösenord organiserad?
Några tips Antivirus, brandvägg - självklarhet Kryptering - enkelt, gratis / billigt Skilj på lek och allvar: En dator för surf, chat, spel, fildelning etc En dator för jobb, räkningar etc Tänk analogt - skulle jag gjort så här IRL?
Tänk logiskt Hur beter du dig i den analoga världen? Du möter en maskerad person i en park. Skulle du: lämna ut adress och telefonnummer? klä av dig naken? låta dig fotograferas / filmas? Alldeles för många gör det på Nätet och råkar illa ut
Lagen gäller faktiskt på Nätet Minsta unge vet att man inte stjäl godis från en kompis eller i en affär Sämre när det gäller Nätet Även en del vuxna tror att Internet är totalt laglöst Allt som är brottsligt i den vanliga världen är brottsligt på Nätet (och lite till ) Dessutom: Du är inte anonym
Fallbeskrivningar
****viftaren
Kärlek på Nätet Johan, ca 35, träffar kinesisk studentska, Lotus, via chat Han blir kär i henne Till en början är känslorna besvarade Han lämnar ut mycket ingående uppgifter Bl a skickar han nakenbilder på sig själv Hon får också tag på e-postadresser till hans föräldrar och syskon Av någon anledning gör hon slut
Kärleken övergår till hat Lotus kommer över e-postadresser till svenska kvinnor Skickar mail till dem från ett webmailkonto som hon skapat i Johans namn I mailen står ungefär I know where you live and I m coming to rape you (givetvis med viftarbilden som bilaga) Johan blir anmäld för bl a olaga hot
Helvetet börjar Även pappan och en bror råkar ut Johan åker på vinst och förlust till Kina och lyckas få träffa någon som påstår att hon är Lotus kompis Han tror fortfarande att Lotus finns Trakasserierna fortsätter Johan håller på att bli av med jobbet pga Lotus terror även mot arbetsplatsen Plötsligt upphör alltihop
Vad hände? Troligen existerade aldrig Lotus Sannolikt någon som hade en rätt bisarr uppfattning om vad som är ett bra Practical Joke Drev en hel familj till gränsen för sammanbrott Som sagt, tänk logiskt
Pojkstreck på Nätet - kul grej, eller
Bomben på LAX 10 december 2002 Samtal från FBI vid 1630 Tips hade lämnats via deras hemsida Inom 3 dygn kommer en bilbomb explodera vid flygplatsen i L.A. Drygt ett år efter 11 september Viss panik utbröt
Bomben på LAX Tipset hade kommit via e-post FBI gav mig en IP-adress + tidsstämplar Tillhörde Telias domän Spårning ledde till mindre ort i Småland Abonnemanget tillhörde en man i min ålder 1805 knackade det på dörren Andreas, 16, ensam hemma
Bomben på LAX Utanför dörren stod två bistra poliskonstaplar Andreas lite lätt ångerfull Pappa lite lätt förgrymmad Datorförbud i något decennium Nå, det här var väl inte så farligt? Kanske inte, men
Bomben på LAX 16 år - straffmyndig Tidigare ostraffad - på sin höjd villkorlig dom och dagsböter Skadestånd? Kan bli rätt dyrt Inte nog med det Kan inte bli utlämnad från Sverige till USA Sverige lämnar inte ut sina medborgare
Bomben på LAX Däremot räcker det att åka till exempelvis Norge, Danmark eller Tyskland Mindre förseelse, åker fast Natoländer Utlämnar gärna en svensk till USA Kan kosta några år av din sons ungdom Är det värt det?
Aspa-mordet
Bakgrund Förkolnat lik hittas i utbränd bil i maj 02 Visade sig vara en kvinna Hennes sambo erkänner mord Han har dessutom skrivit självmordsbrev Polisen tror dock inte på hans erkännande Paret inneboende hos annat par i Aspa Skulle få hjälp med sina hundar I stället - skräckvälde
Utredning Ganska snart misstankar mot hyresvärden Han utsatte kvinnan för ren tortyr i flera månader Till slut dog hon, sittande på en stol i köket Omöjligt att fastställa dödsorsaken Omfattande husrannsakan Dator, digitalkamera i beslag Analys av bla minneskort i kamera Flera raderade bilder kunde återskapas
Utredning bla denna bild Notera brännskadan Rättsläkaren bedömde skadan som högst ett par dygn gammal Senare framkom att den var ca tre veckor gammal
Utredning Rättsläkaren funderade under semestern Kom fram till följande: Skadan såg ny ut Inte läkt på flera veckor Kvinnan utsatt för ständigt, pågående trauma Dödsorsaken var alltså de multipla, kontinuerligt tillfogade, kraftiga skadorna Till slut orkade hennes kropp inte mer
Hur slutade det hela? Åklagaren var tveksam till om han skulle kunna åtala för mord - ingen dödsorsak Nu kom saken i ett helt annat läge Tillspetsat: En enda raderad, återskapad bild, gjorde att man kunde döma en av de värsta sadisterna i svensk kriminalhistoria, till livstids fängelse för mord!