. : Computer Forensics & Incident Response : .

Den amerikanske finansvirksomhed, Certegy, offentliggjorde sidste sommer, at de havde fået stjålet personlig data på omkring 2,3 millioner kunder. Tyveriet blev udført af en ondsindet database administrator ansat i virksomheden. Administratoren tilgik ulovligt kundernes data og solgte dem efterfølgende til en tredjepart. Certegy offentliggjorde i august, at det reelle tal var 8,5 millioner kunder, hvis personlige data var blevet videresolgt.

Virksomheden har nu tilbudt sine berørte kunder en efterstatning på $10.000 og et års “free credit monitoring services” for at sikre, at de stjålne data ikke udnyttes til at bedrage Certegy’s kunder. Beløbet på $10.000 dækkes af virksomhedens forsikring mod identitetstyveri. Herudover vil kunder som lider et tab pga. misbrug af oplysningerne få fuld dækning for deres omkostninger. Tilbuddet kommer efter at virksomheder er blevet mødt af et juridisk søgsmål om erstatning fra berørte kunder.

Den amerikanske sag er et konkret eksempel på de økonomiske konsekvenser IT-kriminalitet kan have for en virksomhed. Som det fremgår, er der tale om en relativ stor kummulativ erstatning til alle de parter, som er del i sagsanlægget mod virkosmheden. Sagen viser herudover, at det er vigtigt, at virksomheder genovervejer sine forsikringsdækninger og forholder sig til, hvorvidt den enkelte virksomhed bør tegne en forsikring mod forskellige former for IT-kriminalitet. Incident responce kan medvirke til at forhindre, at kriminelle handlinger kan gennemføres, og computer forensics kan bidrage til opklaringen og retssagen mod gerningsmanden. Men bliver en virksomhed udsag for IT-kriminalitet, som i den foreliggende sag, kan det have store økonomiske konsekvenser, hvis ikke virksomheden på forhånd har forholdt sig til de mere forretningsorienterede måder at begrænse risikoen mod IT-kriminalitet på. En fremragende måde at gøre dette kan være at tegne en forsikring mod eksempelvis datatyveri.

Hele historien kan læses her

Forskere og studerende fra Princeton University har nu udført og bevist et cold boot attack mod en computers ram. Rapporten viser, at ramdata kan kopieres på et par minutter og at en hashed værdi af krypteringsnøglen typisk ligger i ram, hvilket åbner op for angreb på nøglen. Angrebet er absolut interessant teoretisk, men dets praktiske anvendelse vil dog være relativt begrænset. Der er flere årsager hertil:

- Angrebet kræver fysisk adgang til en tændt computer. Politikker kan begrænse dette væsentligt.
-Bruges stærke algoritmer og en kompleks kodekombination af min. 8 karakterer, vil det tage lang tid inden nøglen brydes. Hertil kommer, at uden adgang til selve harddiskens data er nøglen umiddelbar uanvendelig. Det er i denne sammenhæng vigtigt at huske på, at en fuld kopi af en normal harddisk i dag tager væsentlig længere tid end 2 min.

Angrebet er derfor primært interessant i tilfælde hvor en tændt(eller netop slukket) computer stjæles og hvor både ramdata og harddisk data sikres. Sådanne direkte angreb må være at betegne som professionelle og usandsynlige med de rette politikker. Men stjæles en computer mens den stadig er tændt eller i dvaletilstand er et angreb muligt og virksomheder bør tage højde herfor, ved at implementere de rette politikker og anvende stærke hashalgoritmer og komplekse kodekombinationer af min 8 karakteres længde.

Denne angrebsform kan også bruges af efterforskere og vil derfor også være relevant for computer forensics eksperter, politi og efterretningstjeneste.

Se en demonstration af angrebet nedenfor og læs mere her: http://citp.princeton.edu/memory/

Udbredelsen af IT i samfundet er steget voldsomt gennem de sidste 10-15 år, og har betydet en omfattende digitalisering af dokumenter, transaktioner, kommunikation mv. Et resultat heraf er, at langt størstedelen af den information der i dag findes i danske virksomheder alene eksisterer i digital form. Med digitaliseringen af danske virksomheder er der samtidig opstået nye trusler og sårbarheder, som har givet sig udtryk i virksomheds- og IT-kriminalitet.

Til trods for denne samfundsudvikling anvendes digitale beviser stadig i dag i et meget begrænset omfang ved danske domstole og størsteparten af danske virksomheder anser det alene for politiets ansvar, at sikre beviser for en potentiel straffesag. Viser det sig nødvendigt for en virksomhed selv at føre en disciplinærsag eller civilsag, sikres beviser typisk ad hoc eller i særlige tilfælde ved henvendelse til en ekstern rådgiver. Udbredelsen og anvendelsen af computer forensics teknikker og metoder er således relativt begrænset i danske virksomheder i modsætning til virksomheder i lande som eksempelvis USA og England. På baggrund heraf søger specialet, at besvare følgende problemformulering:

Hvordan kan danske virksomheder drage nytte af computer forensics og hvilke overvejelser bør virksomheder i øvrigt gøre sig i relation til computer forensics?

Kære læser,

Velkommen til min specialeblog.

Så er starten gået for mit speciale: Computer Forensics & Incident Response. Specialet vil gå i dybden med computer forensics ud fra et virksomhedsperspektiv og fokusere på de juridiske, forretningsmæssige og tekniske problemstillinger danske virksomheder kan møde i relation hertil. På denne side vil jeg berette om computer forensics nyheder og løbende skrive om problemstillinger og status for specialet. Alle er meget velkomne til at kommentere på indlæg.

God Fornøjelse!