Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties, 18.354 views •
Bron: Silicon.com

Volgens Bruce Nikkel, hoofd van de afdeling forensisch ICT-onderzoek bij het investeringskantoor UBS, moeten bedrijven bijscholing krijgen op het gebied van technisch onderzoek bij computercriminaliteit. Op dit moment wordt dit type onderzoek alleen nog maar toegepast door de overheid binnen terreinen als het leger en de politie, maar wat Nikkel betreft is het ook voor bedrijven de enige manier om goed op de hoogte te blijven van de bedreigingen op ICT-gebied. Tom Scholtz, onderzoeker bij het analistenbureau Gartner, beaamt dit en voorspelt een grote stijging in het aantal virtuele misdrijven waaraan de werknemers van de getroffen bedrijven, zowel onbewust als opzettelijk, een belangrijke bijdrage hebben geleverd. Volgens de cijfers van de Amerikaanse FBI wordt 44 procent van alle computer-gerelateerde misdrijven uitgevoerd door mensen die binnen de organisaties actief zijn.

William L. Petersen als Gil Grissom in CSIEen veel voorkomende fout die bedrijven maken nadat er een breuk is gedetecteerd in de digitale beveiliging, is het repareren van de beschadigde systemen zonder rekening te houden met het forensisch onderzoek dat mogelijk gedaan kan worden. Net zoals bij niet-virtuele misdaadlocaties kan bewijslast makkelijk worden vernietigd door onverstandig handelen. Informatie die in het geheugen ligt opgeslagen gaat bijvoorbeeld verloren zodra de computer opnieuw opgestart wordt. Het blijft niet alleen bij het verzamelen van bewijslast; de bedrijven moeten ook onderwezen worden in technieken om de gevonden stukken goed te documenteren zodat die aan de rechtbank gepresenteerd kunnen worden, mocht dit noodzakelijk zijn. Dit impliceert dat de digitale technische recherche op de hoogte moet zijn van de juridische procedures omtrent dit soort bewijslast.

De opgeleide teams kunnen uiteindelijk niet alleen worden ingezet om de daders te achterhalen, maar ook om het systeem te repareren door het kraken van nieuw ingestelde wachtwoorden, corrupte gegevens te herstellen of een hardeschijfformat ongedaan te maken. Nikkel gelooft dat een investering als dit uiteindelijk rendement op zal leveren, mocht een bedrijf getroffen worden door een aanval. 'Het voorkomen van tenminste één dure rechtzaak kan de kosten van het opleiden van een forensisch onderzoeksteam rechtvaardigen.', aldus de manager.

Reacties (9)

Vandaar dat nu de opleiding Particulier Digitaal Rechercheur bestaan in nederland.
deze opleiding bied net wat het bedrijfsleven wil hebben
mensen met kennis van beveiligen enz.
n.m. niet goed gelezen, mod maar weg...
Op dit moment studeer ik Network Infrastructure Design aan de Hogeschool zuyd in Heerlen.

Zij geven de mogelijkheid een half jaar durende cursus aan te bieden voor studenten die de NID opleiding volgen.

Vanaf 2007 willen zij de eerste HBO opleiding aanbieden in Nederland.

Hij duurt 4 jaar en je moet de eerste 2,5 jaar mijn opleiding volgen.
Mooi idee om eerst op zoek te gaan naar sporen alvorens het systeem te herstellen. Maar de prioriteit van het bedrijf zal toch liggen bij het productieve systeem....

Om dit dus te bewerkstelligen zijn hele nieuwe procedures nodig. Om het productieve systeem te herstellen zal extra hardware klaar moeten staan zodat het gecompromiteerde systeem intact gelaten kan worden. Daarvoor zijn dus nieuwe investeringen nodig in hardware en nieuwe procedures nodig. Beiden kostbare zaken die door de meeste bedrijven nogsteeds gezien worden als zinloos omdat ze niets toevoegen aan de dagelijkse gang van zaken.

Kan nog wel even duren voordat er bij Het Management genoeg visie is om dit te realiseren.....
Het is natuurlijk een simpele rekensom om het geld. Als je productie stillicht kan dat al gauw in de tonnen/miljoenen gaan lopen. De schade bij een computermnisdrijf zal gewoonlijk veel lager liggen, en als hij hoger ligt kun je de de betreffende persoon er (misschien) op aanspreken, maar als een medewerker een claim van enkele miljoenen krijgt heb je daar als bedrijf nog niks aan: hij zal die gewoonlijk toch niet kunnen betalen dus zit je met een oninbare vordering waar je niet eens BTW op kunt terugvragen zoals met geleverde maar niet betaalde spullen wel kan. Daar heb je als bedrijf ook niks aan, dus de eerste prioriteit is de productie weer op gang brengen tegen minimale extra kosten. De rest is niet zo belangrijk.
Dat ben ik niet direct met je eens. Als onze systemen staan achter een loadbalancer. Sommige 'clusters' bestaan uit slechts 1 machine. Op het moment dat wij ontdekken dat een machine 'mogelijk' slachtoffer is geworden van een aanval, dan zorgen wij dat via de loadbalancer bezoekers naar een reserve machine gaan en de verdachte machine wordt via de firewall volledig dichtgegooid (niet kan er in, maar ook niet eruit).

Vervolgens maken wij eerst een memory dump om deze eventueel na een herstart alsnog te kunnen analyseren. Je wilt namelijk wel weten hoe het komt dat de machine is gehacked. Want anders kun je de boel wel herstellen, maar binnen de korste keren is je nieuwe machine ook geinfecteerd.

Daarna wordt de machine op een zogenaamde honeypot netwerk geplaatst. Dit lijkt op een echt netwerk alleen wordt alle packets (tcp, udp, imcp, etc) gelogged . Vervolgens gaan die pakketten naar buiten en kijken wij welke response we dan terug krijgen. Je moet namelijk bewijslast zien op te bouwen om een nuttige aangifte te kunnen doen.

En eigenlijk is het hopen dat tijdens het onderzoek de nieuwe machine ook niet wordt gehacked omdat er een mogelijke exploit in een webserver zit.
Zolang ik nog klanten heb die hardop afvragen als ik voorstel een ISA2004 met surfcontrol/GFI te gaan gebruiken het geen leuk speelgoed voor de IT afdeling is.

Wat moet je ermee .....


Er word weer lekker gemod :(
Ik probeer aan te geven zolang bedrijven een isa doos al "speelgoed" vinden gaan ze al helemaal geen geld uitgeven aan dit soort dingen ...
Tja... en dan zet de crimineel een Commodore 64 in...
Op dit moment wordt dit type onderzoek alleen nog maar toegepast door de overheid binnen terreinen als het leger en de politie,
Dit is zeker niet waar. Van de 4 grootste accountantskantoren is een forensische afdeling aanwezig in vrijwel elk land, incl. een IT forensische afdeling.

Bij diverse multinationals, wel een minderheid, is een forensische IT expert aanwezig. Onderschat de forensische afdelingen van banken en creditcard maatschappijen niet, die zijn fulltime bezig met dit soort onderzoeken.
maar wat Nikkel betreft is het ook voor bedrijven de enige manier om goed op de hoogte te blijven van de bedreigingen op ICT-gebied.
Ook dit is niet waar, veel multinationals hebben een security officer. En veel IT professionals houden zich met security bezig.

Tsja, dat IT security bij veel bedrijven sterk verbeterd kan worden, wil natuurlijk niet zeggen dat het volledig afwezig is. Beetje (lees: heel erg) tendentieus en ongefundeerd artikel danwel slecht vertaald.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True