Een VVD-polticus die van fraude wordt verdacht gooide zijn harddisk in de brandende kachel en daarna in de rivier. Het Nederlandse Forensisch Instituut kreeg vervolgens de opdracht te achterhalen of er nog gegevens stonden op de resten van de harddisk. Dat onderzoek zou tienduizenden euro's hebben gekost. En dat was weggegooid geld want de specialisten konden niets terugvinden. Was dat te voorzien? Was er nog een kans informatie van die zwaar mishandelde opgedoken schijf te redden?

Francisco van Jole en Peter de Bie van Radio Online op Radio 1 vroegen het manager forensisch onderzoek Roland Vergeer van Fox-IT. Het gesprek is te beluisteren via de site van Radio 1.

Veilige verbinding en communicatie

De op hardware gebaseerde Fort Fox Data Diode was al door de AIVD/NBV goedgekeurd voor het beveiligen van informatie geclassificeerd als “Stg. Geheim”. In navolging is de Data Diode nu door de NATO geaccepteerd voor gebruik tot en met niveau NATO Secret. Dit betekent dat de Data Diode niet alleen nationaal maar ook internationaal gebruikt mag worden voor het beveiligen tegen uitlekken van NATO Secret informatie.

 De Data Diode verbindt twee netwerken met verschillende beveiligingsniveaus via een éénrichting verbinding. Dit voorkomt dat gegevens openlijk of in het geheim worden verstuurd van het veilige netwerk naar het onveiligere netwerk. Zonder de Data Diode worden documenten en bestanden meestal door middel van fysieke media verplaatst, zoals CD’s en USB sticks. Dit wordt gedaan om het lekken van data van het veiligere (rode) netwerk naar het onveiligere (zwarte) netwerk te voorkomen: een zogeheten “airgap”.

Over Fox-IT
Informatiebeveiliging is actueel en belangrijk door de essentiële positie van computers, netwerken en Internet in bedrijfskritische processen. Digitale informatie neemt hierdoor een cruciale plaats in binnen een organisatie. Fox-IT (www.fox-it.com) is een toonaangevend IT Security bedrijf dat zich in het bijzonder richt op het verhogen van het veiligheidsniveau van complexe (bedrijfs-)processen. Vertrouwelijkheid, beschikbaarheid en integriteit vormen de basis van ons dagelijks werk. De cliënten zijn (inter-)nationaal en zeer divers: overheden, financiële instellingen, advocatenkantoren, sociale overheidsinstellingen, opsporingsdiensten en multinationals.

Meer Informatie
Fox-IT BV
Tjerk Suurenbroek
T +31 (0)15 2847957

Door: Chris Nap, verschenen in Automatisering Gids nr. 25, 2007

Een nieuw concept van informatiebeveiliger Fox-IT, gericht op de waardevolste onderdelen in het bedrijfsnetwerk en het primaire proces, maakt monitoren van netwerkverkeer beter en gerichter.

Een financiële instelling met een beveiligingsprobleem: meerdere ex-medewerkers verschaffen zich met kwade bedoelingen toegang tot de panden en het netwerk van de onderneming. Al zes maanden lang, terwijl de gebruikelijke beveiligingsmaatregelen van kracht zijn. Het is een horrorscenario waar een doorsnee-beveiligingssystematiek tegen opgewassen zou moeten zijn. Dat er ondanks fysieke toegangscontroles, identiteitsmanagement en authenticatieprocedures toch allerlei dingen fout gaan, maakt het ‘monitoren’ van het bedrijfsnetwerk en het netwerkverkeer een serieuze zaak.

Beveiligingsbedrijf Fox-IT tilt dat monitoren naar een hoger niveau met zijn ‘goudklompjesconcept’. De klant weet welke zaken, processen en data hij wil beschermen en waarom. Fox-IT levert met het plaatsen van sensoren naast de gangbare technische Intrusion Detection en anomaly detection Service , op maat gesneden ‘triggers’ op de sensoren in het netwerk van de klant. Deze triggers reageren als een vooraf gespecificeerde situatie zich in het netwerk voordoet. Gaat een trigger af, dan krijgt de klant via het Security Operations Center direct de melding dat die situatie zich heeft voorgedaan.

Ondubbelzinnig
Zo kan een financiële instelling wanneer een verder volstrekt normale bancaire webtransactie van een klant ineens vanuit een ongewone of zelfs verdachte IP-regio komt, daarvan een melding ontvangen. Dan kan de transactie worden geblokkeerd tot deze bij de klant is geverifieerd. “Het mooie van het concept is dat de melding binnenkomt op het moment dat er ook echt iets gebeurt en dat de melding ondubbelzinnig is”, zegt Menno van der Marel, directeur van het in Delft gevestigde Fox-IT. “Er kunnen onmiddellijk vervolgstappen worden gezet.” De standaard ‘intrusion detection’-praktijk in Nederland omvat vaak toezicht op het netwerk en het verkeer erop, zegt Van der Marel. “Je gaat op zoek naar afwijkende zaken in het verkeer, die erop kunnen duiden dat iets niet klopt. Events worden geanalyseerd en gerapporteerd.” Jeroen Herlaar, businessunitmanager Managed Security Services van Fox-IT, vult Van der Marel aan: “Het is vergelijkbaar met het cameratoezicht in een winkelstraat als de Rotterdamse ‘koopgoot’, waar 50.000 mensen doorheen komen. Je probeert de signalen op te vangen die erop duiden dat er iets niet klopt. Gebeurt er echt iets raars of onwenselijks, dan wordt er een ‘pet’ op afgestuurd. Dat is het equivalent van het traditionele monitoren van datastromen in een bedrijfsnetwerk.” Het is niet de meest effectieve manier van beveiligen. Nadeel van deze vorm van monitoren is het grote aantal false positives. In negen van de tien gevallen blijkt er niets aan de hand te zijn. Als er te veel meldingen komen, hebben technici de neiging sensoren te ‘tunen’ om dat aantal false positives terug te dringen, met als riskant gevolg dat ook ‘echte’ meldingen aan de aandacht ontsnappen. Van der Marel: “Er zijn twee categorieën bedreigingen. Enerzijds de bekende problemen en de bekende criminelen. De hack attacks, virussen en wormen. Daar kun je met beleid en maatregelen iets tegen doen. Daarnaast zijn er de anomalieën. Zaken die afwijken en apart zijn. IT-beveiliging in Nederland richt zich op deze twee categorieën. Er zijn veel meldingen, dus moet je goede medewerkers hebben die de incidenten beoordelen, snappen wat er aan de hand is en contact opnemen met de klant. Wat wij er nu bovenop leggen, gaat een stap verder. Om in de koopgoot-metafoor te blijven: Een bulldozer in het centrum van Rotterdam is op zich aan de orde van de dag. Dat er eentje over de Coolsingel rijdt, is niet het signaleren waard. Maar wanneer deze de koopgoot in komt rijden, dan wil je dat als eigenaar van een juwelierzaak wel graag weten, zodat je de rolluiken tijdig kan dichtgooien.

In kaart
Met het goudklompjesconcept signaleren we de specifieke risico’s voor de belangrijke primaire processen van de klant. Voorwaarde is dat de klant deze specifieke risico’s in de IT-systemen en infrastructuur in kaart brengt. Dus moeten de mensen die verantwoordelijk zijn voor de beveiliging van de klant, de security officers, de IT-mensen en de managers, bij elkaar gaan zitten om de goudklompjes en de bijbehorende risico’s te benoemen. Wij zorgen vervolgens voor de triggers, die meldingen afgeven als de risico’s of events zich voordoen.”

De praktijk
Een Sharepoint-server met alle informatie waar personeel uit put om het werk uit te voeren, is een voorbeeld van een goudklomp. De 5 gigabyte aan informatie op zo’n server is te kostbaar om weg te laten lekken. Wanneer iemand op het punt staat om de organisatie te verlaten en nog even 2 gigabyte aan informatie naar zijn laptop kopieert, dan wil je dat weten. Met een trigger is zoiets eenvoudig te constateren. Organisaties voorzien hun medewerkers veelal van dezelfde standaard ingerichte HP- en Dell-laptops. Als er een ‘vreemde’ Acer aan het netwerk wordt gehangen, dan is dat interessante informatie. Ook daar is eenvoudig een trigger voor te maken. Een bedrijf heeft veel last van malware en vraagt hij zich af hoe specifieke malware op het netwerk terechtkomt. Eén keer een trigger schrijven en de meldingen komen binnen. Medewerkers kunnen vervolgens op hun (surf)gedrag worden aangesproken. Een laptop die thuis ook wordt gebruikt, kan heel wat ellende op het bedrijfsnetwerk veroorzaken. Klanten laten Fox-IT triggers maken om bepaalde informatie te volgen om bijvoorbeeld na te gaan of delen van het jaarverslag misschien vanuit de eigen organisatie worden gelekt.

Triggers maken
Gek genoeg valt het veel klanten volgens Van der Marel zwaar de goudklompjes binnen de eigen organisatie te identificeren. “Er zijn dan wel IT-audits uitgevoerd en risicoanalyses gemaakt, maar voordat de mensen van de klant concreet de risico’s rond het primaire proces uitspreken, moeten we echt met de klant in de slag. Klantorganisaties zelf maken die slag zelden spontaan. Zijn de goudklompjes en de risico’s in kaart gebracht, dan worden de triggers gemaakt. Het maken van de trigger kost de klant één keer een bedrag, het arbeidsloon dat in het programmeerwerk gaat zitten. De klant kan de trigger daarna meestal kostenloos blijven gebruiken. De tijd die het kost om een trigger te maken varieert van enkele uren voor een eenvoudige tot enkele weken voor een extreem ingewikkelde. Monitoren is volgens Fox-IT nu vaak te veel een technische kwestie. Zo van: ‘Het netwerk en de systemen worden bedreigd door wormen en virussen’. Van der Marel: “Daar wordt in de beveiligerswereld scherp naar gekeken en dat moet ook zo blijven. Maar datgene waar het werkelijk om draait, verdient extra aandacht. Met deze aanpak willen we een beetje uit de hoek van de techniek wegkomen.”

With the growing knowledge of digital forensics there is also a growing knowledge in the field of anti-forensics. More software and products see the light each day, which can make digital forensic investigations more difficult to do. One new product in the world of anti-forensics is a USB stick, which can be used to take your favorite programs and files with you on the road. You can use them on any computer and leave no traces of what you have been doing on the computer. Besides being useful for a lot of people, the features of this stick can also be abused. Offences like hacking, fraud, spamming, and the like could be harder to investigate if no traces of the offense are to be found on the computer because one of these USB sticks has been used. This article is about the U3 USB stick; it offers you the opportunity to travel with your files and programs, but does it indeed leave no traces?

Thijs Bosschert, forensic IT expert at Fox-IT in Delft, wrote a paper on U3-sticks which was published in the leading Journal of Digital Forensic Practice.