Resultaten Fox-IT onderzoek n.a.v. arrestatie DIVD vrijwilliger
(English translation below)
Naar aanleiding van de arrestatie van een DIVD vrijwilliger als verdachte in een gegevensdiefstal zaak, heeft DIVD het security bedrijf Fox-IT gevraagd een forensisch onderzoek te doen op systemen van DIVD. We hebben Fox-IT gevraagd of de verdachte gehandeld heeft in strijd met de DIVD Code of Conduct en of er indicaties zijn dat er door hem misbruik is gemaakt van informatie van DIVD in relatie tot de zaken waarvan hij wordt beschuldigd.
We hebben Fox-IT de volgende vragen gesteld:
- Zijn (digitale) sporen aanwezig waaruit aannemelijk wordt dat door betrokkene de DIVD Code of Conduct is geschonden?
a. Is door betrokkene naar kwetsbaarheden in externe systemen gezocht die afwijken van hoe DIVD deze werkzaamheden normaliter zou uitvoeren?
b. Zijn door betrokkene scanresultaten of andere data gekopieerd naar een locatie buiten de DIVD-omgeving en waar kan dit worden gezien als afwijkend van legitieme DIVD- werkzaamheden?
c. Zijn door betrokkene activiteiten uitgevoerd op het serversysteem die wijzen op oneigenlijke toegang tot gegevens van DIVD?
We hebben het rapport ontvangen met daarin de conclusies van het onderzoek. Hier staat het volgende in:
- Fox-IT heeft geen sporen aangetroffen waaruit aannemelijk wordt dat de DIVD Code of Conduct door betrokkene is geschonden.
- Fox-IT heeft geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van betrokkene naar kwetsbaarheden is gezocht op externe systemen die ongewoon zijn voor DIVD.
- Fox-IT heeft geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van betrokkene data wordt gekopieerd naar een locatie buiten de DIVD-omgeving.
- Fox-IT heeft geen activiteiten geïdentificeerd onder het gebruikersaccount van betrokkene die wijzen op oneigenlijke toegang tot gegevens van DIVD.
Wel heeft Fox-IT een aantal verdachte activiteiten gezien die zijn uitgevoerd onder het account van de verdachte.
- Er zijn timestomping-acties uitgevoerd;
- De commandogeschiedenis is op bepaalde momenten uitgezet;
- Er is een wachtwoordhash te zien in Metasploit-commandogeschiedenis.
DIVD heeft onderzoek gedaan naar deze activiteiten en in het huis van bewaring een gesprek gevoerd met de verdachte over deze bevindingen.
Naar aanleiding van activiteit 3 is DIVD tot de conclusie gekomen dat dit te rijmen valt met de DIVD zaak waar betrokkene op dat moment bij betrokken was (DIVD-2022-00055). We beschouwen deze activiteit als verklaard en niet verdacht.
In het gesprek met de verdachte over activiteit 1 en 2, heeft hij ons redelijke verklaringen gegeven voor deze acties. Ongeacht het feit of deze verklaringen geloofwaardig zijn of niet, zijn deze twee acties op zichzelf geen schending van de Code of Conduct en doen zij geen afbreuk aan de conclusie van Fox-IT dat er geen sporen zijn waaruit het aannemelijk wordt dat de DIVD Code of Conduct door hem is geschonden.
Op basis van het Fox-IT onderzoek en onze eigen vervolg op dit onderzoek, concluderen we dat er geen bewijs is dat de verdachte misbruik heeft gemaakt van DIVD systemen of informatie.
Results Fox-IT investigation after arrest of DIVD volunteer
After the arrest of a DIVD volunteer, DIVD has asked Dutch cyber security company Fox-IT to conduct forensic investigations on DIVDs systems. We asked Fox-IT to determine if this volunteer has violated the DIVD Code of conduct and if there are indications that the volunteer has used information from DIVD in the cases he is charged with.
We asked Fox-IT the following questions.
- Is there (digital) evidence that indicates that it is probable that the subject has violated the DIVD Code of Conduct? The focus is on:
a. Has Subject researched vulnerabilities in external systems that are out of scope of the normal procedures of DIVD investigations
b. Has Subject copied scan results or other data to a location outside the DIVD environment, where this can be seen as not in line with his legitimate DIVD work.
c. Has Subject performed any activities on the servers that point to illegitimate access to DIVD data?
We have received a report with the conclusions from Fox-IT and it states that:
- Fox-IT has found no traces that indicate it is probable that Subject has violated the DIVD Code of Conduct.
- Fox-IT has not identified activities that point to the research of vulnerabilities in a way that is unusual.
- Fox-IT has not identified activities where data is copied to a location outside the DIVD environment
- Fox-IT has not identified activities that point to illegitimate access to DIVD data.
Fox-IT has however identified suspicious activity performed under subject’s account:
- Execution of time stomping commands
- Suspension of the recording of command-history
- A password hash that appeared in the Metasploit command history
DIVD has investigated these activities and has interviewed Subject about these activities in the detention facility where he is currently held.
With regard to action 3, we have come to the conclusion that this was in line with the investigation he was conducting at that point in time (DIVD-2022-00055, and we consider this action as not suspicious.
When we discussed actions 1 and 2 with Subject, he provided us with reasonable explanations for both these actions. Regardless of the validity of this statement, the actions as such do not constitute a breach of the Code of Conduct and they do not negate Fox-IT’s conclusion that there is no evidence that this volunteer has likely breached the DIVD Code of Conduct.
Based on the investigation of Fox-IT, and our own follow-up investigation we conclude that there is no evidence that makes it probable that the volunteer has abused DIVD systems or information.
Last modified: 29 Sep 2023 14:03