311 likes | 589 Views
Cyber crime « Les preuves ». Haythem EL MIR, CISSP CTO, ANSI Chef de l’Unité IRT, TunCERT. Agenda. Introduction Définition Etat de l’art des cyber crimes Investigation Collecte de preuve Condition d’admissibilité Cas d’exemple Vol d’identité Phishing Usage des proxy Conclusion.
E N D
Cyber crime« Les preuves » Haythem EL MIR, CISSPCTO, ANSIChef de l’Unité IRT, TunCERT
Agenda • Introduction • Définition • Etat de l’art des cyber crimes • Investigation • Collecte de preuve • Condition d’admissibilité • Cas d’exemple • Vol d’identité • Phishing • Usage des proxy • Conclusion
Définition (wikipedia) • Le terme « cyber crime » est employé pour décrire des activités criminelles traditionnelles dans lesquelles des ordinateurs ou les réseaux sont utilisés pour réaliser une activité illicite. • Les cas qui suivent sont considérés comme cybercriminels : • le système ou le réseau informatique est un outil de l'activité criminelle. • le système ou le réseau informatique est une cible d'activité criminelle. • le système ou le réseau informatique est un lieu d'activité criminelle. • les crimes traditionnels facilités par l'utilisation des systèmes ou des réseaux informatiques.
Le système comme cible • Intrusion • Motivation: • Pour nuire, endommager, modifier le système • Voler des données sensibles (Carte de crédit, …) • Peut impliquer d’autre violation • Une intrusion dans une banque pour voler de l’argent • Une intrusion dans une entreprise ou base de données universitaire pour voler des données personnelles
Le système comme cible Keylogger • Malware, • espionnage industriel, • piratage de logiciel, • Hacking, • DDoS Spyware Worms Virus Bots Trojans
Le système comme outilL’ordinateur facilite le crime • Un moyen pratique pour commettre une série de crimes • Exemples : • Fraude bancaire • Phishing • Fraude de carte de crédit • Pornographie (Enfant/ Adulte) • Vol d’identité • Vol de propriété intellectuelle • Harcèlement sexuel • Diffamation • …
Le commerce des cyber crimes Mpack, Shark 2, Nuclear, WebAttacker, et IcePack est une liste de produits vendus au marché des outils de hacking. Les outils du Cybercrime deviennent un vrai business et le marché deviens de plus en plus mature. 20 000 dollars pour une faille 0-day Windows Une société de recherche en sécurité informatique offre la coquette somme de 20 000 dollars pour toute information au sujet de vulnérabilités non divulguées affectant l'OS Windows.
Et la justice … Tous les cas Déclaré Enquêtés Portés devant les tribunaux CONDAMNÉES
Comment il est ce hacker? • Adolescent • Etudiant • Employée • Concurrent • Gouvernement étranger • Mafia
Pourquoi les criminel sont sur Internet Anonymat Indépendant d’un emplacement physique Plus facile d’exercer (outils disponibles et techniques devenues très simples) Transfert de fond plus facile Champs d’action très vaste C’est un commerce très profitable Un business à très bas risque (Troues juridiques, victime qui ne déclare pas, difficulté de retraçage, crimes intercontinentaux)
Les étapes de l’investigation • Acquisition • Obtenir la possession de l’ordinateur, toutes les connectivités, tous les outils de stockage. • Identification • Déterminer ce qui peut être récupéré, et lancer différentes opérations de récupération • Evaluation • Evaluer les données en possession et les données récupérée et déterminer comment utiliser ces données contre le suspect • Présentation • Présentation des éléments de preuve découverts d’une manière qui soit compréhensible par l’avocat et les non-techniciens
Similaire à une scène de crime traditionnelle If faut acquérir les preuves tout en préservant leur intégrité Ne pas l’abimer pendant la collecte, le transport et le stockage Il faut tout documenter Il faut tout collecter à la première fois Etablir la chaine de conservation de preuve Pour l’analyse Faire l’analyse sur une copie Faire plusieurs copies sans toucher à la copie originale Utiliser les technique de hashage et d’horodatage pour pouvoir prouver que les données n’ont pas été altérées L’investigation : La scène de crime
Localisation des preuves: physique • Les preuves ne viennent pas toutes de l’ordinateur • Salle et bureau • Imprimante et autres périphériques, • Ecran et clavier, • Téléphone • Etui et vêtement (poches, etc), • Poubelle • Disques dures • Il est possible de restaurer des données effacées • Les commendes DEL, FDISK et FORMAT ne suppriment pas tout.
Localisation des preuves: numérique • Volatile • RAM (outils d’acquisition spécifique) • Spooler de l’imprimante • Non-volatile • Base de registre • Fichiers, types de fichiers et répertoire (exemple FAT et NTFS) – information masquée dans MFT / alternative data streams (ADS) • Les comptes e-mail te les entête email • Cookies • Historique de navigation Internet • Le BIOS • Les preuves peuvent être • Volatiles • Extrêmement fragiles • Facilement corrompues
Les preuves électroniques • Disquette / CD / DvD / flash disque USB • Bande magnétique • Appareil photo • Carte mémoire • Imprimantes • PDAs / Blackberry / Pocket PC • Carte SIM • Console de jeux • Equipements Réseaux • Disque dure
Cycle de vie des preuves • Découverte et reconnaissance • Protection • Enregistrement • Collecte • Rassembler tous les supports de stockage • Faire image du disque dur avant de déconnecter le secteur électrique • Faire un imprime écran • Évitez de démagnétisation des équipements • Identification (étiquetage et marquage) • Préservation • Protéger les supports magnétiques de l'effacement (protection contre l’écriture) • Stocker dans un environnement propre • Transports • Présentation dans une cour de justice • Retour de la preuve pour le propriétaire
Condition d’admissibilité • Pertinence • Légalement admissible • Fiable • Correctement identifié • Étiquetage des imprimés avec des marqueurs permanant • Identifier le système d'exploitation utilisé, les types de matériel, etc. • Enregistrement des numéros de série • Marquage des preuves sans les endommager, ou en le plaçant dans des conteneurs scellés La saisi doit suivre des règles de prudence, l’agent doit faire preuve de diligence : due care / due diligence
Autres critères d’admissibilité Authenticité(basé sur les signatures électronique et le hachage des documents) Chaine de conservation (Chain of custody) Les majeurs parties de la chaine de conservation des preuves Localisation des éléments de preuves obtenus Le temps de saisie des preuves Identification des individus ayant découvert les preuves Identification des individu en charge de la protection des preuves Identification des individu ayant contrôlé les preuves ou ayant détenu ces preuves Chaque personne en contact avec les preuves peut être sujet de contestation Il devra avoir une bonne raison pour accéder au preuves Son implication doit être journalisée avec détail Condition d’admissibilité
Cas d’exemple : Vol d’identité Trace d’attaque Keylogger Trojan Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Serveur
Cas d’exemple : Phishing Email d’arnaque IP source Adresse du faux serveur Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Adresse de l’attaquant Serveur de phishing
Usage des proxy (1) Attaque directe PROXY Victime (2) L’adresse du dernier proxy est enregistré, mais dernière il peut y avoir des dizaines Attaquant Chaine de proxy (3)
Conclusion : Les challenges • Loi sur les cyber crimes • Acceptation des preuves électroniques • Confidentialité des données • Divulgation des données • Préservation des scènes de crime • Restauration des preuves • Savoir-faire, compétences, formation • Être proactif, en restant à jour • Le coût • Coopération : internationale, FSIs • Les règles du jeu (les criminels n’en ont pas)
Questions? haythem.elmir@ansi.tnwww.ansi.tn