Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Haythem Elmir Cyber Crimes

    Enviado por

    y.jabari
    92 visualizações25 páginas
    cybercriminalité présentation

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PPT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    cybercriminalité présentation

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    92 visualizações25 páginas

    Haythem Elmir Cyber Crimes

    Enviado por

    y.jabari
    cybercriminalité présentation

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 25

    Company

    LOGO

    Cyber crime
    « Les preuves »
    Haythem EL MIR, CISSP
    CTO, ANSI
    Chef de l’Unité IRT, TunCERT

    www.company.com
    Company Agenda
    LOGO

    • Introduction
    • Définition
    • Etat de l’art des cyber crimes
    • Investigation
    • Collecte de preuve
    • Condition d’admissibilité
    • Cas d’exemple
    • Vol d’identité
    • Phishing
    • Usage des proxy
    • Conclusion

    www.company.com
    Company Définition (wikipedia)
    LOGO

    • Le terme « cyber crime » est employé pour


    décrire des activités criminelles traditionnelles
    dans lesquelles des ordinateurs ou les réseaux
    sont utilisés pour réaliser une activité illicite.
    • Les cas qui suivent sont considérés comme
    cybercriminels :
    • le système ou le réseau informatique est un outil de
    l'activité criminelle.
    • le système ou le réseau informatique est une cible
    d'activité criminelle.
    • le système ou le réseau informatique est un lieu
    d'activité criminelle.
    • les crimes traditionnels facilités par l'utilisation des
    systèmes ou des réseaux informatiques.
    www.company.com
    Company Le système comme cible
    LOGO

     Intrusion
     Motivation:
     Pour nuire, endommager, modifier le système
     Voler des données sensibles (Carte de crédit, …)
     Peut impliquer d’autre violation
     Une intrusion dans une banque pour voler de l’argent
     Une intrusion dans une entreprise ou base de
    données universitaire pour voler des données
    personnelles

    www.company.com
    Company Le système comme cible
    LOGO

    Keylogger
    Malware,
    espionnage industriel, Spyware

    piratage de logiciel,
    Hacking, Worms

    DDoS
    Virus

    Bots

    Trojans

    www.company.com
    Company Le système comme outil
    LOGO L’ordinateur facilite le crime

     Un moyen pratique pour commettre une série de crimes


     Exemples :
    • Fraude bancaire
    • Phishing
    • Fraude de carte de crédit
    • Pornographie (Enfant/ Adulte)
    • Vol d’identité
    • Vol de propriété intellectuelle
    • Harcèlement sexuel
    • Diffamation
    • …

    www.company.com
    Company Le commerce des cyber crimes
    LOGO

    Mpack, Shark 2, Nuclear, WebAttacker, et IcePack est


    une liste de produits vendus au marché des outils de
    hacking.
    Les outils du Cybercrime deviennent un vrai business et
    le marché deviens de plus en plus mature.

    20 000 dollars pour une faille 0-day Windows


    Une société de recherche en sécurité informatique offre la coquette
    somme de 20 000 dollars pour toute information au sujet de vulnérabilités
    www.company.com
    non divulguées affectant l'OS Windows.
    Company Et la justice …
    LOGO

    Tous les cas

    Déclaré

    Enquêtés

    Portés devant les tribunaux

    CONDAMNÉES

    www.company.com
    Company Et le criminel …
    LOGO

    www.company.com
    Company Comment il est ce hacker?
    LOGO

    • Adolescent
    • Etudiant
    • Employée
    • Concurrent
    • Gouvernement étranger
    • Mafia

    www.company.com
    Company Pourquoi les criminel sont sur Internet
    LOGO

    Anonymat
    Indépendant d’un emplacement physique
    Plus facile d’exercer (outils disponibles et
    techniques devenues très simples)
    Transfert de fond plus facile
    Champs d’action très vaste
    C’est un commerce très profitable
    Un business à très bas risque (Troues
    juridiques, victime qui ne déclare pas,
    difficulté de retraçage, crimes
    intercontinentaux)
    www.company.com
    Company Les étapes de l’investigation
    LOGO

    • Acquisition
    • Obtenir la possession de l’ordinateur, toutes les
    connectivités, tous les outils de stockage.
    • Identification
    • Déterminer ce qui peut être récupéré, et lancer
    différentes opérations de récupération
    • Evaluation
    • Evaluer les données en possession et les données
    récupérée et déterminer comment utiliser ces données
    contre le suspect
    • Présentation
    • Présentation des éléments de preuve découverts d’une
    manière qui soit compréhensible par l’avocat et les non-
    techniciens

    www.company.com
    Company L’investigation : La scène de crime
    LOGO

    • Similaire à une scène de crime traditionnelle


    • If faut acquérir les preuves tout en préservant leur
    intégrité
    • Ne pas l’abimer pendant la collecte, le transport et le
    stockage
    • Il faut tout documenter
    • Il faut tout collecter à la première fois
    • Etablir la chaine de conservation de preuve

    • Pour l’analyse
    • Faire l’analyse sur une copie
    • Faire plusieurs copies sans toucher à la copie
    originale
    • Utiliser les technique de hashage et d’horodatage
    pour pouvoir prouver que les données n’ont pas
    www.company.com été altérées
    Company Localisation des preuves: physique
    LOGO

    • Les preuves ne viennent pas toutes de


    l’ordinateur
    • Salle et bureau
    • Imprimante et autres périphériques,
    • Ecran et clavier,
    • Téléphone
    • Etui et vêtement (poches, etc),
    • Poubelle
    • Disques dures
    • Il est possible de restaurer des données effacées
    • Les commendes DEL, FDISK et FORMAT ne
    suppriment pas tout.

    www.company.com
    Company Localisation des preuves: numérique
    LOGO

    • Volatile
    • RAM (outils d’acquisition spécifique)
    • Spooler de l’imprimante
    • Non-volatile
    • Base de registre
    • Fichiers, types de fichiers et répertoire (exemple
    FAT et NTFS) – information masquée dans MFT /
    alternative data streams (ADS)
    • Les comptes e-mail te les entête email
    • Cookies
    • Historique de navigation Internet
    • Le BIOS

    Les preuves peuvent être


    Volatiles
    www.company.com
    Extrêmement fragiles
    Facilement corrompues
    Company Les preuves électroniques
    LOGO

    • Disquette / CD / DvD / flash disque USB


    • Bande magnétique
    • Appareil photo
    • Carte mémoire
    • Imprimantes
    • PDAs / Blackberry / Pocket PC
    • Carte SIM
    • Console de jeux
    • Equipements Réseaux
    • Disque dure

    www.company.com
    Company Cycle de vie des preuves
    LOGO

    • Découverte et reconnaissance
    • Protection
    • Enregistrement
    • Collecte
    • Rassembler tous les supports de stockage
    • Faire image du disque dur avant de
    déconnecter le secteur électrique
    • Faire un imprime écran
    • Évitez de démagnétisation des
    équipements
    • Identification (étiquetage et marquage)
    • Préservation
    • Protéger les supports magnétiques de
    l'effacement (protection contre l’écriture)
    • Stocker dans un environnement propre
    • Transports
    • Présentation dans une cour de justice
    • Retour de la preuve pour le propriétaire
    www.company.com
    Company Outils de saisie et d’investigation
    LOGO

    www.company.com
    Company Condition d’admissibilité
    LOGO

    • Pertinence
    • Légalement admissible
    • Fiable
    • Correctement identifié
    • Étiquetage des imprimés avec des
    marqueurs permanant
    • Identifier le système d'exploitation utilisé,
    les types de matériel, etc.
    • Enregistrement des numéros de série
    • Marquage des preuves sans les
    endommager, ou en le plaçant dans des
    conteneurs scellés

    La saisi doit suivre des règles de


    prudence, l’agent doit faire preuve de
    www.company.com diligence : due care / due diligence
    Company Condition d’admissibilité
    LOGO

    Autres critères d’admissibilité


    • Authenticité (basé sur les signatures électronique et
    le hachage des documents)
    • Chaine de conservation (Chain of custody)
    • Les majeurs parties de la chaine de conservation des
    preuves
    • Localisation des éléments de preuves obtenus
    • Le temps de saisie des preuves
    • Identification des individus ayant découvert les preuves
    • Identification des individu en charge de la protection des
    preuves
    • Identification des individu ayant contrôlé les preuves ou
    ayant détenu ces preuves
    • Chaque personne en contact avec les preuves peut
    être sujet de contestation
    • Il devra avoir une bonne raison pour accéder au
    www.company.com
    preuves
    • Son implication doit être journalisée avec détail
    Company Cas d’exemple : Vol d’identité
    LOGO

    Trace d’attaque
    Keylogger
    Trojan
    Trace de connexion
    Historique des communications
    Outils d’attaque

    Victime
    Attaquant

    Internet : FSIs
    Trace de connexion
    IP source
    IP destination
    Date

    Trace de connexion
    Historique détaillé

    www.company.com

    Serveur
    Company Cas d’exemple : Phishing
    LOGO

    Email d’arnaque
    IP source
    Adresse du faux serveur
    Trace de connexion
    Historique des communications
    Outils d’attaque

    Victime
    Attaquant

    Internet : FSIs
    Trace de connexion
    IP source
    IP destination
    Date
    Trace de connexion
    Historique détaillé
    Adresse de l’attaquant

    www.company.com

    Serveur de phishing
    Company Usage des proxy
    LOGO

    Attaque directe (1)

    PROXY Victime
    (2)

    Attaquant
    L’adresse du dernier
    Chaine de proxy
    proxy est enregistré,
    mais dernière il peut
    y avoir des dizaines

    (3)

    www.company.com
    Company Conclusion : Les challenges
    LOGO

    • Loi sur les cyber crimes


    • Acceptation des preuves électroniques
    • Confidentialité des données
    • Divulgation des données
    • Préservation des scènes de crime
    • Restauration des preuves
    • Savoir-faire, compétences, formation
    • Être proactif, en restant à jour
    • Le coût
    • Coopération : internationale, FSIs
    • Les règles du jeu (les criminels n’en ont
    pas)

    www.company.com
    Company
    LOGO
    Questions?

    haythem.elmir@ansi.tn
    www.company.com
    www.ansi.tn

    Você também pode gostar