An eCrime Reporting

Lingua Franca:    

Optimizing eCrime Investigation

Efficiency Using a Common Data Format

Committed to Wiping Out

Internet Scams and Fraud

A Technical
Advisory for
Industry and
January 2009 Government
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

 
 
SUMMAR
RY ............................................................................................................................................. 3

THE RAT
TIONALE FOR
R A COMMON
N ECRIME REPORTING 
E FORMAT
O  ............................................... 4
CRITERIA
A FOR DETER OF OPTIMAL
RMINATION O L DATA FORM
MATS .................................................. 5

THE IOD
DEF EXTENSIIONS FOR E‐C
CRIME REPO
ORTING ..................................................................... 6

ENABLIN
NG ROBUST DATA SHARIING ................................................................................................. 9

USE CASE SCENARIO
OS AND ASSO
OCIATED BEN
NEFITS .................................................................... 10

LOOKING
G AHEAD: IO
ODEF EXTEN
NSIONS DEVE
ELOPMENT ARC ................................................... 11

REFEREN
NCES ....................................................................................................................................... 12

 
 
 
 
 
Corresp
pondent Au
uthor Contaact Data: 
Patrick C
Cain, APW
WG, pcain@aantiphishing
g.org 
 
 
 
 
Disclaimmer: PLEAS SE NOTE: T The APWG G and its coooperating in
nvestigatorrs, researcheers, 
and servvice providers have prrovided thiss message aas a public service, bassed upon 
aggregated professsional experrience and personal op pinion.  Theese recommmendations are 
not a commplete list of steps thaat may be taaken to avo
oid harm from phishin ng.  We offeer no 
warranty as to the completeneess, accuraccy, or pertin nence of theese recommmendations 
with resspect to any
y particular registrar’s operation, or with resspect to any
y particularr 
form of criminal attack.  Pleasse see the A
APWG webssite — http:://www.apw wg.org — ffor 
more infformation. 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 2
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 
  Conttributing Researrchers   
Princip
pal Investig
gator:   
D
Dave Jevans, C Chairman, APWWG   
Patrick
k Cain, Ressident Reseaarch Fellow
w, APWG  Peter Casssidy, Secretary
y General, APW
WG 
 
 

Su
ummary

Historically, crime has been a local eventt; that is, th
he criminal iis in close p
proximity to o the 
victim. EElectronic ccrime (e‐crimme) and vaariants on w
well‐known n criminal taactics that h
have 
been updated to usse the Intern net have removed thiss persistentt of locality.. The 
perpetraator of the ccrime and tthe victim m may be sepaarated by enntire counttries ‐ or eveen 
continen nts.  This ad
dds new challenges forr crime investigators aas the party y performin ng 
initial in
nvestigationn may be qu uite remotee from the aactual crimee “location”” with diffeerent 
parties pperforming g different p
parts of the investigatio
on.  The ability to convvey accuratte 
and com mplete invesstigative daata—in mulltiple langu uages and styles—is no ow paramo ount 
to successful management of ee‐crime eveents, law en nforcement case formaation and 
subsequ uent prosecu ution. 
To help with this innformation exchange, the APWG G has workeed with its ppartners across 
its globaal membersship base off some 17000 institutionns to develoop an XML‐‐based dataa 
model fo or reportingg the technical aspectss of phishin
ng, fraud, annd other eleectronic criimes 
to remotte parties in
n a clear, co
onsistent meethod. The goal of thee data modeel is to alloww an 
investigator to sharre relevant details of aa possible crriminal act with others in a data 
format tthat requirees completeeness, like loocal time‐zoone, while also provid
ding multi‐
languag ge support. 
Data shaared in thiss format can n be furtherr processed
d quite easilly by autommation. For 
examplee, data abou ut certain crrimes can bbe automatiically proceessed via coomputer onn 
arrival aand redirectted to the aappropriatee investigato
or in near‐rreal time. A
Additionally
y, 
specific data elemeents can be ccontrolled o or encrypteed to complly with evo olving data 
privacy regimes. 
These faactors makee this data m
model an ex xcellent veh
hicle to repo ort, share, aand interprret 
electron
nic crime events.  Ultimmately, the AAPWG beliieves that u utilizing a common data 
format wwill allow foorms of auttomated prrocessing off forensic data, giving investigato ors 
and e‐crrime respon nders the kiind of insig
ghts they reqquire to traansform larg ge reposito
ories 
of forenssic data into
o actionable narratives that can aanimate pottent e‐crimee managem ment 
exercises for privatte industry,, as well as case formaations, invesstigations aand 
prosecuttions for laww enforcemment.  
 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 3
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

The Ratiionale Fo
or a Common eCrrime Rep
porting Fo
ormat

The rise in phishingg and fraud
d activities via e‐mail, instant meessaging, DN NS corrupttion 
and mallicious codee insertion h
has compellled corporaations, Inteernet Service Providerss 
(ISPs), consumer ag gencies and
d financial iinstitutionss to begin to
o collect, fuse, correlatte 
and analyze phishiing attack innformationn and data rrelated to e‐‐crime even nts.  The 
collectedd data allow
ws them to better coorrdinate mitiigation activvities and ssupport thee 
pursuit and proseccution of atttackers. 
By usingg a common n format, it becomes eaasier for an organizatio
on to engag ge in these 
coordinaation activitties as well as the correelating of in
nformation from multip ple data 
sources or productss into a coheesive view. As the num mber of dataa sources in
ncreases, a 
common n format becomes even n more important sincee multiple ttools would d be needed to 
interprett the differeent sources of data. 

APWG SEES THE Th

he accumullation and ccorrelation of informattion is also 
ENTERPRISE OF E-CR
RIME im
mportant to resolving p phishing in ncidents dettected 
LAW ENFFORCEMENTT ex
xternally, ass the phisheed organizaation may n not even be 
aw
ware of the attack.  Thiird parties aaware of atttacks may 
EVOLVINNG TO A MO ODEL
wiish to notifyy the phishhed organization directtly or throu ugh 
RESEMBLLING PUBLIC C
a ccentral notiification serrvice or cleaaringhousee so that 
HEALTH INITIATIVES
I
ad
dequate resp ponses cou uld commen nce.  The tarrgeted 
organizaation’s interrnal monito oring system ms may alsso detect thee attack and d wish to taake 
mitigatio
on steps.  Iff these systeems cannott communiccate adequaately, theree is no hopee for 
attack m
mitigation or criminal p prosecution n. 
APWG ssees e‐crime law enforrcement end deavors graavitating ov ver time to a model th hat 
more cloosely resemmbles publicc health inittiatives likee tracing thee source of a contagiou us 
agent orr a toxic sub
bstance in thhe food chaain. It’s all aabout how the case daata are 
recruited
d. Instead oof a report ffrom one orr a few sources used fo or case initiialization and 
formatioon, in e‐crim
me investiggations a larrge numberr of data ressources are collected, 
archivedd, collated a
and analyzeed to build a summariized narratiive to inforrm a new caase 
and to contribute too and develop existing g cases.  
With a ccommon terrminal form
mat for repoorts, new fo
orms of dataa sharing n
necessary to
o 
engage ee‐crime beccome possib
ble in wayss otherwise unimaginaable withou ut it:  
• Private enterprises and
P d their contrractors can combine arrchived rep
ports to deteect 
laarger trends and augm
ment their frraud detecttion system
ms.  
• Private enterprises and
P d their contrractors can share repo orts and e‐crrime event data 
in
n real‐time to give all ssharing parrties earliesst warning o
of new attacks that maay 
co
oncern themm or their ccorrespondeents.  

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 4
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

• Private enterprises and
P d their contrractors (e.g. banks and
d their secu
urity 
coonsultants)) can quicklly consolidaate e‐crime report dataabases to prresent a casse to 
laaw enforcemment.  
• Private secu
P urity firms ccan share daata quickly
y and effectiively to ideentify and trrack 
teelling trend
ds as well ass indentify and characcterize antagonists wh ho are causin ng 
lo
osses to theeir client com
mpanies. 
• National com
N mputer emeergency ressponse team ms, coordinnating invesstigations in
nto 
p
phishing att
tacks, can co ombine e‐crrime event databases to find corrrespondingg 
d
data points i
in attacks laaunched in
n one countrry against ttargets in an
nother. 
• Public sectorr law enforrcement ageencies and ccombine e‐crime even
P nt databasess to 
an
nalyze for ttrends and clues to infform case in
nitialization
n. 
• Public sectorr law enforrcement ageencies can q
P quickly asseemble e‐crime event d
data 
around a forrmerly unid dentified su
uspect whose identity has been su urmised an
nd 
co
onfirmed. 
• All parties to
A o developm ment of an eexisting law
w enforcemeent or privaate security
y 
caase can pro
ogram their systems to o automaticcally direct rreports of p
pre‐determiined 
chharacteristiics to the ap
ppropriate iinvestigatoors. 
Ultimateely the capaacity to rapiidly recruit,, combine aand analyzee large dispaarate pools of e‐
crime daata will sug
ggest more aautomated m mechanism ms for e‐crimme detection
n and 
expositio
on.  Furtherrmore, dataa fusion of ssummarized d e‐crime daata with othher establish
hed 
law enfoorcement da ata resourcees will redo ound, over ttime, to the developmeent of poten nt e‐
crime in
nvestigative techniquess that will m make case innitialization
n and develoopment in tthe 
electroniic realm as procedurall as they forr convention nal law enfoorcement.  E
Establishingg a 
common n data formmat is the firsst step towaard that mo
ore efficient future. 
 

Criterria for De
etermination of Op
ptimal Da
ata Forma
ats

When th he APWG and its reseaarch corresp pondents beegan the development of a termin nal 

format for e‐crime rreports, we attempted to find a suuitable dataa model and d format to 
adopt ass a way of streamliningg the effort — instead oof starting ffrom scratch
h.  It becam
me 
apparen nt that there was no exiisting, ready
y‐to‐adopt standard daata format tthat met thee 
criteria—
—so we dev veloped onee. 
The impportant criteeria for a wo
orldwide, in
nter‐domain mat become apparent very 
n data form
quickly.  The forma at must allow for text d
data to be en
ntered in a different language thaan 
the crim
me data.  Takke, for exammple, an Am
merican ban nk phishing e‐mail messsage that iss 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 5
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

sourced from a Latiin America web serverr.  The comm munication ns discussing the Englissh 

text messsage betweeen the inveestigating parties may bbe in Spanish.  A secon
nd prime 
criterion
n allows for data elemeents to be m
marked as reequired or o
optional. 
For exammple, a repo ort about ann Internet ev vent is not v
very useful iif the reportt does not 
include tthe attackerr’s Internet PProtocol (IP
P) address.  TThe bane off many interrnational 
reports iis the lack off required tiime zone mmarkers on tiimestamps,, e.g., the rep port states tthat 
the attacck happened d at two o’cllock in the m
morning.  W Was this locaal time?  Waas it GMT?  Was 
it Summmer Time?  In n which hem misphere?  T There mustt be a uniforrm way to p precisely 
characterize time in n order, for iinstance, to craft a coheerent chronoology of e‐crrime eventss in a 
case narrrative. 
andscape iss continuallly evolving,,  IN EFFEECT, THE CO
Since thee e‐crime la OMMON DA ATA
the dataa model and d formats mmust be easiily expandaable FORMA AT CAN ENAABLE
to allow
w for the traccking of thee new technniques  MATION IN E-CRIME
AUTOM
discoverred during investigatio ons as welll as the ability  MANAGGEMENT ANND LAW
to add mmore data elements to existing rep ports. 
ENFORCEMENT OP
PERATING AT
A THE
n is to use aa  SPEED WITH
A secondary, but sttill importaant criterion W WHICHH THE
data formmat that dooes not requ uire odd or expensive  ELECTR
RONIC CRIM MES THEMSELVES
tools, no
or encodes d data in hard
d‐to‐deciphher formatss.  ARE EX XECUTED
Most alll of parties eexchangingg investigattive data haave 
neither llarge budgeets nor big support gro oups readyy and able to figure ou
ut unclear 
reports.  Thus, the ability to reead and commprehend rreports with hout complex tools is a 
necessityy. 
 

Th
he IODEF Extensio
ons for e-C
Crime Re
eporting

Failing tto find an a
acceptable eexisting datta format innspired APW WG researcchers to deffine 
a set of eextensions tto the IETF
F Incident O
Object Data Exchange F Format (IODEF) 
definitio
ons as definned in IETF RFC 5070, a reporting g standard for network k events that 
was officially adop pted by the Internet Enngineering T Task Force (IETF) in D
December 2007. 
(The IETTF is an inteernational bbody that, iin part, dev
velops technnical and prrotocol 
standard ds for the operation annd mainten nance of thee Internet.) 
The IODDEF is an XM ML‐based d data formatt designed to identify and describ be network k 
events such as viruus infectionss, Denial off Service (D
DoS) attackss, or large sccale malevo
olent 
scans byy attackers. Each part o
of an IODEF report is specified th hrough a scchema 
definitio ng the data elements and their atttributes. Th
on indicatin he schema aalso allows for 
implemeenters to sppecify which h elements and attribu utes are req
quired to make sure th hat 
the impoortant oness are included within aa report.  
O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 6
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

The APW WG’s Exten nsion to IOD

DEF‐Documeent Class forr Phishing, F
Fraud, and O
Other Non‐
Network Layer Reports builds oon the IODE EF base speecification b
by defining a set of datta 
elements common to phishing g, fraud, an
nd other e‐crime that allows the reeporter of aan 
issue to specify thee elements o
of the attem
mpted crimee, such as:
• Fraud sourcce and targeet such a baank;  
• W
Web servers
s involved; data comm
munication p
packets;  
• D
Domain Nam
me Service (DNS) and
d registry in
nformation;  
• E
Evidentiary files of a w
web site’s co
ontent. 
As the ex
xtensions a
are XML‐bassed, they caan be processsed with m many freely available to
ools, 
and—ass text—are rreadable wiithout speciial viewing programs. (All web brrowsers willl 
display X
XML forma atted files ass will most any populaar word pro ocessor such
h as Microssoft 
Word.  AAny text editor in any ccommon op perating sysstem (vi, em
macs, nano, notepad, ettc.) 
will show
w you the XXML formaatted conten nt as well.) 
The XML base also o allows for significantt improvem ments in rep port handlin
ng, as many y of 
the repo
ort validatio
on, collaborration, and distributionn activities can be autoomated. With 
machinee processing g, many of the forensic routines tthat requiree pains takiing hand 
processiing can be eexecuted ass soon as relevant dataa becomes aavailable to a program mmed 
forensic applicationn.  In effect,, the comm
mon data forrmat can ennable autommation in e‐‐
crime mmanagementt and law enforcementt operating g at the speeed with wh hich the 
electron
nic crimes th
hemselves aare executed. 
   

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 7
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

 
Figure 1: APWG
A e-Crime Reportin
ng Tool

XML mak kes reports hu

uman reada able and assists in editingg, adding daata and orgaanizing
human-driven workflo ows. The stan
ndardized foormat also alllows for rapid consolidaation
of data and machine e processing of reports fo
or different fo
orensic appliication scen
narios
The APWGG has established workin ng betas of a compliant eCrime Rep porting Tool fo
or US-
EN, UK-EN
N and ES-ES (Spain-native
( e Spanish). More languaages are to come. Goall:
create a version
v of the APWG e-C Crime Reportting Tool ava
ailable in eve
ery languag ge in
which ele
ectronic crimme is a proble
em to help establish
e and
d feed privatte sector, pu
ublic
sector and non-profit e-crime datta repositorie
es
A workingg beta of the
e APWG e-Crrime Reporting Tool, a co
onsole that allows
a for de
etailed
manual reeporting andd archiving of
o e-Crime events
e is available in US-EN at:
http://sou
urceforge.neet/projects/e
ecrisp-x

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 8
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

Ena
abling Robust Data
a Sharing
g

Significaant operatioon efficienccies are possible if a co
ommon dataa format is shared 
amongstt reporting and consum ming partiees. For exammple, once a reporter ggenerates aa 
report, it can be eleectronically
y sent to a d
database wh here the datta could automaticallyy or 
programmmatically b be consumeed and rediistributed. 
WITH A COMMON TERMINAL
Anotherr party coulld request tthat data fro om the 
FORMATT FOR E-CRIIME REPORTTS,
databasee, receive itt in the com
mmon formaat, and use 
NEW FORMS OF DA
ATA
xisting ttools to decompose an nd examine it. This 
EXCHAN
NGE NECESS
SARY TO
second p party couldd also add aadditional ddata to the 
original report and return it too the originaal database  E E-CRIME BECOME
ENGAGE B
he same com
using th mmon formaat.  POSSIBLE IN WAYS OTHERWISE
O
UNIMAG
GINABLE WITTHOUT IT
There arre four com
mmunities cu urrently ussing the 
IODEF d data model and its exttensions: naational CER RTs exchangging netwoork incidentt 
data; a g
group of fin
nancial instiitutions excchanging IP
P Addresses and fraudd attack dettails; 
a numbeer of ICT seecurity com
mpanies and d individuals reporting
g phishing attempts. 
The enduring logisttical challennges of international e‐‐crime dataa sharing aree:  
 
• Fiinding a common dataa sharing an nd reportingg format thhat supportss multiple loocal 
languages;  
 
• P
Providing ad dequate flexxibility to ev
volve with the changin ng e‐crime llandscape; 
 
• Ensuring tha at created reeports contaain sufficien
nt and synttactically correct data. 
 
The APW WG believes that the I Extension too IODEF‐Doocument Claass for Phishiing, Fraud, aand 
Other Noon‐Network Layer Reporrts meet these challeng ges and will continue to o do so for aa 
long tim
me horizon a and will adaapt to indusstrial and laaw enforcem ment needs for the 
foreseeaable future. 
 
The scheema was deeveloped to o solve a feww specific, b
but growin ng, identifieed problemss 
such as eexchanging g informatio on with speeakers of otther languaages and try ying to 
minimizze the back‐‐and‐forth n negotiationn of capturinng critical d
data. A feww example u use 
cases folllow. 
   

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 9
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

Use Case Scenarios

S s and Asssociated Benefits

1. Untraained sourcces who aree preparing g and sendiing crime d data can be directed to o 

send com mplete reports. Veteraan investigators and receivers of incident daata all havee 
horror stories of recceiving inco omplete daata about an n importantt crime event, e.g., thee 
source d data is missing; the tim mestamp haas no time zzone inform mation; the ddata payloaads 
are emp pty. The IOD DEF exchan nge format can requiree certain criitical data fiields to enssure 
that a reeceived repo ort is compplete. This aability to req
quire certaiin fields maakes it much h 
easier too receive inccident dataa from a wid der reportinng audiencee. 
 
2. Exchaanging e‐criime data w with speakeers of anoth her languag ge is simpliified. Many y 
electronnic crime events happeen in multip ple jurisdicttions. An e‐‐crime repoorter may need 
to descriibe an even nt to an inveestigator thhat understaands and/or reads a diifferent 
languag ge. The text areas in an n IODEF forrmat messaage contain a languagee marker that 
allows aa receiver to o use tools tto semi‐auttomatically translate th he sentencees, paragrap phs 
and asso orted inform mation into o a languagee that the reeceiver und derstands. AAdditionallly, 
the sendder of an IOODEF report may also translate ‐‐ and mark appropriateely ‐‐ the 
anticipated languag ge of the reeceiver, mak king true innternationaal informatioon exchang ges 
quicker and simpleer. 
 
3. The bback‐and‐fo orth converrsations wh hen e‐crimee data is channeled viia a third paarty 
can be rreduced or eliminated d.  Some porrtion of excchanged inccident data is channeleed 
through h a third parrty before d delivery to tthe intendeed receiver so the origiinal data caan be 
desensittized, anony ymized or aaggregated d. For examp ple, a group
p of banks may send ttheir 
incidentt data to a cclearinghou use at which h it is comppiled into a generalized d report beffore 
forward ding to an in nvestigator. If addition nal data is rrequired du uring investtigation of the 
compiled report tra aditionally a series of b back‐and‐fo orth communications happens to o 
figure ou ut what rep port needed d what dataa. When usiing the IOD DEF formatss, one can ssend 
the entirre ‐‐ or piecces of the ‐‐ compiled rreport back k to the clearinghouse w who can seend 
it back to the origin nator. The o originator ccan quickly find their ssubmitted rreports usin ng 
the incluuded IODEF Incident IIdentifier in nstead of seearching thhrough all thhe data they y 
submitteed to the cleearinghousse trying to match up tthe returned report an nd their inteernal 
data.  
 
4. Addittional stand dard securiity mechan nisms can b be applied tto the exchaanged dataa as 
part of tthe data excchange pro ocess. Somee parties aree sensitive tto the data that is 
exchang ged with oth her parties,, such as en
nsuring thatt only the reeceived parrty can read d the 
messagee or requirin ng that the original daata contain an integrity y mechanissm or digitaal 
signaturre. As the IO ODEF form mat complies with the X XML encod ding rules, aany standarrd 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 10
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

security mechanism m can be eaasily appliedd to the IOD DEF data, ssuch as PGP P, S/MIME,, 

SSL/TLS S, or generaalized encip
pherment, aand transpo orted and reecovered orr validated at 
the receiiving partyy. No additiional securiity development is req quired to usse these 
security services. 
 
5. Intern
national rep porting reqquirementss can be imp plementedd. E‐crimes sspan multip ple 
jurisdicttions with m
multiple priivacy, releaase, retentio
on, and connfidentialityy requiremeents. 
Using thhe IODEF fo ormat to sh
hare data accross nation nal boundarries allows for the 
applicattion of other standard XML securrity mechan nisms ‐‐ irreespective off how the d
data 
is transp
port to the rreceiving paarty ‐‐ such
h as digital ssignatures and confidentiality 
(encipheerment). Th he format allso allows tthe ability tto remove, eencipher, o
or obfuscatee 
certain d
data fields bbefore furth
her distribuution to suppport compliance with h national 
policy or regulation n. 
 

Lookin
ng Ahead
d: IODEF Extension
ns Develo
opment Arc
A

The estaablishment of a commo on terminall data form mat for e‐crimme reports is an essenntial 

element in the consstruction off a global co ounter e‐criime data exxchange infrastructuree, 
indeed, a counter for the global e‐crime p plexus that is growingg in compettence and 
power w with every p passing day y.   
 
Still, theere are other data logisstics challennges that m
must be engaaged in ord der to mobillize 
forensic data that iss islanded iin repositorries maintained by ind dustry, law enforcemeent 
agenciess, governmeent agenciees, CERTs, N NGOs and independent clearingh houses of ee‐
crime daata. 
 
First, toools for repo
orting and ffor translatiing existingg data sets iinto IODEFF‐compatiblle 
reports w will have to
o be establisshed to takke advantag ge of the commmon dataa schema. T The 
APWG h has alreadyy programm med a manu ual reportin
ng console tthat will alllow anyonee 
who can n operate a general purpose comp puter to con
nstruct a co
omplete e‐crrime event 
report an nd archive it. [See Figuure 1, p 8.]  
 
The APW WG has esttablished an n open‐sourrce softwarre project sp pecifically tto design annd 
construcct data tran nslation toolls to converrt data sets in non‐commpliant form mats of 
correspo ondents’ syystems into the IODEF Extensionss for e‐Crim me Reportin ng format.  
Many off the converrsion softw ware routinees are identical with on nly minor ddifferences, but 
most all correspond dent systemms would reequire theirr own conv verters.  
 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 11
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421 
 OPTIMIIZING E-CRIM
ME INVESTIGA
ATION
EFFIC
CIENCY USING
G A COMMO ON DATA FORMAT
 

Given th he eagernesss of all stak keholders eengaged in e‐crime ressponse and investigations 

to forenssic exchang ge data, the APWG exp d organization of correspondence and 
pects rapid
the subssequent disccovery of n new advanttageous datta fusion an nd analysis schemes th hat 
will yielld telling, co
onclusive in ntelligence for forensic artisans. 
 
Research hers, investtigators and d responderrs from ind dustry and tthe public ssector will 
doubtlesss begin demanding m more data an nd more freequent corrrespondencce. Then, when 
data loggistics barrieers to facilee, automated e‐crime eevent data aare removed, a global 
counter e‐crime data exchangee will have been estab blished and will flourissh through 
clearinghouses and d legally rattional correespondencee agreementts.  
 
Before thhat juncturee, howeverr, e‐crime data corresp pondents wiill have to cconfront thee 
legal, reggulatory an nd sometim mes compliccated ethicaal questionss that attend d the 
movemeent of e‐crim me data acrross internaational fron ntiers and offten throug
gh the hand ds of 
correspo ondents wh ho may or m may not hav ve specific p
permissionn to handle tthose data.
That pro ocess is und derway in g governmenttal bodies w worldwide and is as vital to the 
develop pment of a g global coun nter e‐crimee data exchaange as is thhe developmment of 
universaal data scheema for e‐crrime reportts.  
 

Refferencess

“Extensiions to the IODEF‐Doccument Claass for Repo orting Phishhing, Fraud
d, and Otheer 
Crimew ware,” Intern
net Engineeering Task F Force, July 2008. 
http://w
www.ietf.orgg/internet‐d
drafts/draftt‐cain‐post‐iinch‐phishiingextns‐055.txt 

Danyliw
w, R., Meijerr, J., and Y. Demchenk
ko, “The Inccident Objeect Descripttion Exchan
nge 
Format,”” RFC 5070
0, Decemberr 2007.  http
p://www.ietf.org/rfc/rffc5070.txt 
An openn source sofftware project relatingg to the dev
velopment o of tools for e‐Crime 
reportin
ng can be fo
ound at:  htttp://sourcefforge.net/prrojects/ecrissp‐x 

O
Optimizing e-Crime
e Inv
vestigation Efficiency Using
U a Common Data
a Format 12
h
http://www.apw
wg.org ● info@
@apwg.org
PMB 246, 40
05 Waltham Street, Lexington MA USA
A 02421