24.5.2007 | 10:09
Hvernig á að bregðast við tölvuglæp?
Þessi spurning kom upp á ráðstefnu um upplýsingaöryggismál sem ég sótti sl. vetur. Einn fyrirlesarinn lýsti því þegar hringt var í fyrirtæki hans eftir að klámvefur m.a. með barnaklámi uppgötvaðist á vef alþjóðlegs banka í ónefndu landi. Einn starfsmaður bankans hafði sett upp klámvef á vefþjóni bankans og var hann opinn öllum. Það voru að vísu engir tenglar á milli vefsvæðis bankans og klámvefsins og á vefnum kom hvergi fram hvar hann var hýstur. IP-tölur voru það eina sem gátu tengt þetta tvennt saman. Klámvefurinn hafði verið opinn í nokkurn tíma, jafnvel í 6 til 12 mánuði. Hér var í veði orðspor bankans, sem gat orðið af milljarða viðskiptum ef þetta kæmist í hámæli, fyrir utan lögsóknir. En hvað átti bankinn að gera? Hvaða ráðgjöf átti ráðgjafinn að veita?
Fyrir algjöra tilviljun var óvenjuhátt hlutfall ráðstefnugesta frá lögreglu hinna ýmsu landa og því spannst mjög fjörug umræða um málið. Ráðgjafinn sagðist hafa mælst til þess að vefnum væri lokað umsvifalaust og svo haft samband við lögreglu. Salurinn skiptist í tvær fylkingar við að heyra þetta. Önnur fylkingin saman stóð af öryggisstjórum og eigendum fyrirtækja sem voru sammála, enda í húfi orðspor fyrirtækisins og ekkert annað skipti máli. Í hinni voru lögregla og nokkrir ráðgjafar, sem sögðu að ekkert mætti gera fyrr en lögreglan kæmi á staðinn. Og það er einmitt málið. Það er með tölvuglæpi eins og aðra glæpi, að ekki má eiga við vettvang glæpsins. Um leið og það er gert geta sönnunargögn tapast. Það má varna því að hinn grunaði geti spillt vettvangi glæpsins eða hulið slóð sína, en það má ekki gera með því að loka aðgangi hins grunaða að tölvukerfinu. Eina leiðin er að útiloka að hann komist í samband við tölvukerfið með því að fá hann í burtu frá öllum tölvum, t.d. setja hann í einangrun, kalla hann á fund eða láta hann erindast eitthvað, þar til lögreglan kemur á staðinn og getur hafið rannsókn á hinum meinta glæp. Ef lokað hefði verið á aðgang utanaðkomandi aðila að klámvefnum, hefði hinn grunaði vel geta haldið því fram að þessi aðgangur hafi aldrei verið opinn. Ef klámvefurinn hefði verið tekinn niður, hefði hinn grunaði átt auðvelt með að rökstyðja að vefurinn hafi aldrei verið virkur. Ef aðgangi hins grunaða hefði verið lokað, þá hefði hann geta rökstutt að hann hefði aldrei haft aðgang að vefnum og því væri vefurinn honum óviðkomandi. Jafnvel það að taka heildarafrit (ghosta) af þeim diskum, sem geyma vefinn með öllum stillingum og aðgangsstýringum, kemur ekki í staðinn fyrir þær sannanir sem lögreglan þarf til að hefja rannsókn málsins.
Um leið og lögreglan kemur á staðinn, er það hennar að ákveða viðbrögð. Eftir að hún er búinn að safna þeim sönnunargögnum, sem hún telur nauðsynleg við rannsókn málsins, er fyrst hægt að loka vefnum eða aftengja tölvur.
Nei, bíddu við, segja vafalaust ýmsir. Á að vera opinn aðgangur að barnaklámi í kannski marga klukkutíma meðan beðið er eftir því að lögreglan komi og rannsaki málið. Já, þannig er það. Það er enginn munur á tölvuglæp og öðrum glæpum að ekki má spilla sönnunargögnum. Hvað hefði gerst, ef forstjóri fyrirtækisins hefði nú myrt einhvern á skrifstofunni sinni? Hefði þá verið hringt í ráðgjafafyrirtæki úti í bæ til að bregðast við glæpnum? Hefði líkið verið flutt úr stað, t.d. yfir á skrifstofu undirmanns, svo álitshnekkir fyrirtækisins hefði ekki verið eins mikill? Að sjálfsögðu ekki (nema ætlunin hafi verið að hylma yfir með hinum seka). Það er eins með tölvuglæpi. Það fyrsta sem gera á, þegar eitthvað slíkt atvik uppgötvast sem rökstuddur grunur er um að teljist brot á lögum, er að tilkynna/kæra það til viðeigandi yfirvalda. Grun um brot á hegningarlögum skal tilkynna/kæra til lögreglu. Það eina sem starfsmenn fyrirtækisins, sem lendir í slíku atviki, mega gera er að fullvissa sig um að glæpur hafi verið framinn með uppflettingum eða fyrirspurnum í gagnasöfn, en þeir mega ekki breyta frumgögnum sem sýna að glæpurinn hafi átt sér stað.
(Tekið skal fram að þetta blogg er ekki skrifað með skírskotun í nýlegt dómsmál þar sem nokkrir einstaklingar nýttu sér forritunarmistök hjá Glitni.)
Meginflokkur: Bloggar | Aukaflokkar: Tölvur og tækni, Upplýsingaöryggi | Breytt 14.12.2007 kl. 14:21 | Facebook
RSSHeimsóknir
Flettingar
- Í dag (22.11.): 3
- Sl. sólarhring: 8
- Sl. viku: 45
- Frá upphafi: 1680027
Annað
- Innlit í dag: 3
- Innlit sl. viku: 41
- Gestir í dag: 3
- IP-tölur í dag: 3
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Sæll Marínó.
Við skulum muna að það er tvennt ólíkt að spilla sönnunargögnum, og hins vegar að koma í vega fyrir að frekari glæpir eiga sér stað. Það er ekkert að því að loka vef tímabundið, ef hann inniheldur klárlega efni sem er ólöglegt. Annars er viðkomandi að stuðla að áframhaldandi glæpastarfsemi.
Ég held því fram að þú hafir á röngu að standa hér - með þínum rökum væri eðlilegast að láta nauðganir eiga sér stað, kalla aðeins á lögregluna en leyfa nauðgaranum að halda áfram óáreittum - því annars værum við að spilla sönnunargögnum.
kv. Gestur Svavarsson
Gestur Svavarsson (IP-tala skráð) 24.5.2007 kl. 10:41
Gestur, ef ég nota þína samlíkingu þá er það sem ég sagði: Ekki þrífa vettvang nauðgunarinnar og passa upp á að fórnarlambið fari ekki í sturtu. Nauðgarinn er aftur tekinn úr umferð og þess gætt að hann hvorki fjarlægi lífssýni né komist í tæri við fórnarlambið til að hóta því eða vinna því frekara tjón. Klámvefurinn er sönnun fyrir glæpnum, ekki glæpurinn sjálfur. Glæpurinn er að setja vefinn upp og hafa hann aðgengilegan öðrum. Við skulum ekki rugla saman sönnunargögnum og glæp. Þetta er eins og lík er staðfesting á að eitthvað hafi gerst. Áverkar á líki geta bent til þess að dánarorsök sé óeðlileg. Glæpurinn var aftur framinn, þegar lifandi manneskju voru veittir þeir áverkar sem drógu hana til dauða. Það breytir engu um stöðu glæpsins þó líkið sé látið liggja í nokkra klukkutíma án þess að hreyfa það. Að loka vefnum er sambærilegt við að færa líkið úr stað áður en rannsókn hefst.
Marinó G. Njálsson, 24.5.2007 kl. 11:06
Smá leiðrétting: Ég ætlaði að segja: glæpurinn er að setja vefinn upp og gera hann aðgengilegan öðrum.
Marinó G. Njálsson, 24.5.2007 kl. 11:17
Það er eitt sem fólk virðist ekki átta sig á hér og það er að þetta gerist út um allt, alla daga, mest af gáleysi.
Algengast er að fólk setji upp anonymous ftp-þjóna sem leyfa upphal og niðurhal í sömu skráarsvæði. Þegar slíkur þjónn er kominn upp tekur yfirleitt bara nokkra klukkutíma þar til klámhringir úti á netinu eru farnir að nota þá í gríð og erg. Slíkt kom t.d. fyrir á fyrsta ftp-þjón sem var settur upp hjá Landssímanum, ftp.isholf.is, árið 1997 minnir mig að það hafi verið.
Elías Halldór Ágústsson, 24.5.2007 kl. 16:30
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.