Når først stormen har lagt sig efter hackerangrebet, gælder det om at være omhyggelig og undgå at ødelægge de tekniske beviser, hvis hackeren skal fanges og dømmes.
- Virksomhedens første prioritet er selvfølgelig at få stoppet angrebet. Det kan være svært at få overblik i en stor virksomhed, når angrebet finder sted, siger teknisk chef Peter Vestergaard fra revisionsfirmaet PwC.
Men derefter gælder det om at sikre beviserne - både for at undgå gentagelser og for at finde frem til hackeren og få ham dømt.
Hvis virksomheden er interesseret i at følge angrebet helt til dørs ved domstolene, kræver det fra begyndelsen et grundigt arbejde med at sikre beviserne, så de kan bruges i retten.
Ring til en ven
- Det gælder først om at finde en kompetent person til at håndtere sagen. Det lyder banalt, men det er typisk fejl nummer ét. Ring til en ven, siger Peter Vestergaard.
Mange virksomheder udpeger ofte deres egne tekniske medarbejdere til opgaven, men hvis efterforskningen skal kunne bruges i retten, skal man tage nogle særlige forholdsregler for at sikre integriteten af beviserne.
- Integriteten er her lig med korrethed. Der er eksempelvis stor tidsforskel fra angrebet finder sted, til beviserne skal bruges i retten. En forsvarer vil forsøge at drage tvivl om, hvorvidt bevismaterialet er det samme, som det var på angrebstidspunktet, forklarer Peter Vestergaard.
Det kan sikres ved hjælp af særlige værktøjer, som kan verificere, at en fil er uændret siden angrebstidspunktet.
Luk døren
Et andet vigtigt formål med efterforskningen er at forhindre, at det gentager sig.
Jo større et netværk, der er ramt, jo sværere kan det være at finde frem til den åbne dør i systemet, som hackeren har sneget sig ind gennem.
- Det gælder om at finde "Patient 0" for at besvare spørgsmålet, hvordan kom de ind? Man kan under en sag udpege generelle indsatspunkter i it-systemerne, men Patient 0 er ofte et sikkerhedshul, der også er kendt af andre. Hvis virksomheden får trampet for meget rundt i beviserne kan man kun symptombehandle, siger Peter Vestergaard.
Hvis virksomheden ønsker at retsforfølge hackeren, er det vigtigt at få taget et så komplet øjebliksbillede som muligt af systemerne.
Det kan gøres med specialværktøjer, der indsamler både data i hukommelsen og på harddisken. Selv slettede filer på harddiskene kan være afgørende.
Bevissikring tager tid
Selve processen med at sikre beviserne er som regel den mest tidskrævende del af efterforskningen.
Får man sikret et øjebliksbillede af systemet, er det som regel relativt let med politiets hjælp at finde frem til gerningsmanden ved hjælp af IP-adresser.
I visse tilfælde efterlader hackeren imidlertid også andre spor på systemet, der kan lede efterforskerne frem til personen uden at blande en internetudbyder ind i efterforskningen.
- Den, der laver den slags angreb, er ikke altid den hurtigste knallert på havnen. De efterlader spor om sig selv på nettet. Vi havde eksempelvis en sag, hvor personen havde lagt bagdørsprogrammer i foldere med samme navn som hans Counterstrike-brugernavn, fortæller Peter Vestergaard.
Denne type spor kan derfor give pote ved at søge i nyhedsgrupper, internetforummer eller beskedtjenester som MSN Messenger.
Høj succesrate
Ifølge Peter Vestergaard er succesraten relativt høj, når det gælder om at finde frem til personerne bag et hackerangreb, så længe man er indstillet på at afsætte tilstrækkeligt mange ressourcer til opgaven.
- Vores erfaring er, at hvis man involverer politiet, så kan de reagere temmelig hurtigt. Men hvis personen sidder i et land, der ikke har en aftale med Danmark, så strander politiarbejdet ved grænsen, siger Peter Vestergaard.
Internationale specialenheder og politisamarbejder har gennem de seneste år ført til pågribelsen af indtil flere virusbagmænd og hackergrupper.
Senest har finsk og britisk politi i fællesskab optrevlet en gruppe, der stod bag programmeringen og udsendelsen af en række virusser og bagdørsprogrammer.