6.57 blir du som ansvarig för ert IP-nät uppringd av rikskriminalen. Rikskriminalen planerar en husrannsakan på ditt kontor 8:00 och du ombeds närvara. Efter en mycket lång timme, möter du kriminalkommissarien och åklagaren på kontoret. Uppskärrad och tillika sömndrucken får du vetskap om att någon från ert IP-nät har laddat upp barnpornografiska bilder på en publik web…
Detta scenario kan vara hämtat ur verkligheten. Det kanske låter drastiskt att polis och åklagare gör husrannsakan bara för att man i en weblogg hittat att någon från ert IP-nät har laddat upp barnpornografiska bilder på en web. Men, faktum är att samhället ser mycket allvarligt på denna typ av kriminalitet.
Vilka möjligheter har du att spåra trafik från ert nät? De flesta har byggt upp ett bra skydd för att hindra access från Internet till det företagsinterna nät. Men, det omnämnda har i många fall hamnat i glömska. En anslutning till ert företagsinterna nät är ofta det enda som krävs för att få access till Internet. Kanske via en anslutning i ett kopplingsskåp i grannfastigheten?
Vid husrannsakan är det inte omöjligt att specialister på nätsäkerhet närvarar för att säkra spår. Inledningsvis görs troligen en kartläggning för att kunna gör avgränsningar i spårandet. Exempel på några frågeställningar är:
Hur ser kabelsystemet ut? Vilka förgreningar finns Var finns korskopplingsskåp?
Hur är nätet uppbyggt? Används hubbar, switchar och/eller routers? Fabrikat?
Vilka förgreningar har nätet? Andra orter/länder?
Finns det andra vägar in i nätet? Modem?
Används DHCP? I så fall, hur är DHCP konfigurerat?
Vilka operativsystem används?
Hur synkroniseras klockorna i datorerna?
Vilka loggverktyg finns i nätet? Finns det några system för intrångsdetektering?
Används brandvägg? I så fall, vilket fabrikat? Vem ansvarar för den? Vad loggas i den?
Vika rutiner finns för att spara loggar?
Nästa steg är att, utifrån kartläggningen, säkra spår. Allt för att finna vem eller vilka det är i det företagsinterna nätet som gjort dessa uppladdningar. Förhoppningsvis finns det tillräckligt med spår för att snabbt kunna säkerställa vem eller vilka som är skyldig. Kanske kan det vara flera indicier som fäller avgörandet. Går det inte att säkerställa vem den skyldige är, så är det inte omöjligt att varje tänkbar individ måste polisförhöras. Desto längre processen blir, desto mer dyrbar tid måste tas i anspråk. En utdragen process intresserar ofta media mer än ett snabbt och diskret gripande.
Just detta exempel kanske låter främmande för er som läser detta. Jag kan lova att det låter främmande även för den som ansvarar för det aktuella nätet där detta brott skett. Denna typ av kriminalitet finns i alla samhällsklasser, inom alla yrken och inom alla verksamhetsområden.
Om ni inte redan infört rutiner för att möjliggöra spårning och kontroll av trafik i så väl ert interna som externa nät, så är det hög tid att se över detta. Metoder för stark identifiering i ett internt nät är snart lika självklart som det är i ett externt nät.
© 2001 Thomas Nilsson, Certezza AB
Thomas Nilsson