6.57 blir du som ansvarig för ert
IP-nät uppringd av rikskriminalen. Rikskriminalen planerar en
husrannsakan på ditt kontor 8:00 och du ombeds närvara. Efter en
mycket lång timme, möter du kriminalkommissarien och åklagaren på
kontoret. Uppskärrad och tillika sömndrucken får du vetskap om att
någon från ert IP-nät har laddat upp barnpornografiska bilder på en
publik web...
Detta scenario kan vara hämtat ur verkligheten. Det kanske låter
drastiskt att polis och åklagare gör husrannsakan bara för att man
i en weblogg hittat att någon från ert IP-nät har laddat upp
barnpornografiska bilder på en web. Men, faktum är att samhället
ser mycket allvarligt på denna typ av kriminalitet.
Vilka möjligheter har du att spåra trafik från ert nät? De flesta
har byggt upp ett bra skydd för att hindra access från Internet
till det företagsinterna nät. Men, det omnämnda har i många fall
hamnat i glömska. En anslutning till ert företagsinterna nät är
ofta det enda som krävs för att få access till Internet. Kanske via
en anslutning i ett kopplingsskåp i grannfastigheten?
Vid husrannsakan är det inte omöjligt att specialister på
nätsäkerhet närvarar för att säkra spår. Inledningsvis görs
troligen en kartläggning för att kunna gör avgränsningar i
spårandet. Exempel på några frågeställningar är:
Hur ser kabelsystemet ut? Vilka förgreningar finns Var finns
korskopplingsskåp?
Hur är nätet uppbyggt? Används hubbar, switchar och/eller routers?
Fabrikat?
Vilka förgreningar har nätet? Andra orter/länder?
Finns det andra vägar in i nätet? Modem?
Används DHCP? I så fall, hur är DHCP konfigurerat?
Vilka operativsystem används?
Hur synkroniseras klockorna i datorerna?
Vilka loggverktyg finns i nätet? Finns det några system för
intrångsdetektering?
Används brandvägg? I så fall, vilket fabrikat? Vem ansvarar för
den? Vad loggas i den?
Vika rutiner finns för att spara loggar?
Nästa steg är att, utifrån kartläggningen, säkra spår. Allt för
att finna vem eller vilka det är i det företagsinterna nätet som
gjort dessa uppladdningar. Förhoppningsvis finns det tillräckligt
med spår för att snabbt kunna säkerställa vem eller vilka som är
skyldig. Kanske kan det vara flera indicier som fäller avgörandet.
Går det inte att säkerställa vem den skyldige är, så är det inte
omöjligt att varje tänkbar individ måste polisförhöras. Desto
längre processen blir, desto mer dyrbar tid måste tas i anspråk. En
utdragen process intresserar ofta media mer än ett snabbt och
diskret gripande.
Just detta exempel kanske låter främmande för er som läser detta.
Jag kan lova att det låter främmande även för den som ansvarar för
det aktuella nätet där detta brott skett. Denna typ av kriminalitet
finns i alla samhällsklasser, inom alla yrken och inom alla
verksamhetsområden.
Om ni inte redan infört rutiner för att möjliggöra spårning och
kontroll av trafik i så väl ert interna som externa nät, så är det
hög tid att se över detta. Metoder för stark identifiering i ett
internt nät är snart lika självklart som det är i ett externt
nät.
© 2000 Thomas Nilsson, Certezza AB
