Narzędzia Informatyki Śledczej I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9.01.2009r. Tomasz Tatar Account Manager
Agenda 1. O firmie. 2. Informatyka śledcza. 3. Narzędzia Informatyki Śledczej: Akwizycja danych Odzyskiwanie danych Analiza danych Blokowanie zapisu Analizy sieciowe Mobile Forensic
O firmie 1. Rok założenia 1998. 2. Poświadczenie przemysłowe i własna kancelaria tajna. 3. Największe laboratorium informatyki śledczej w tej części Europy. 4. Profesjonalna kadra ekspertów i biegłych sadowych 5. Dystrybutor sprzętu i oprogramowania do informatyki śledczej. 6. Wykonywanie zleceń dla wszystkich organów ścigania Wydawanie opinii Zabezpieczanie danych 7. Własne centrum szkoleniowe. 8. Projektowanie i budowa platform bezpieczeństwa informacji. 9. Audyt.
Informatyka śledcza Świat przestępczy Zorganizowana przestępczość/ Podstawieni pracownicy/ Sabotaż Pornografia/pedofila Wymuszenia Haracze Szantaż Ataki sieciowe Spam Malware Własność intelektualna Szpiegostwo przemysłowe Kontrola planów finansowych i marketingowych Nieautoryzowane oprogramowanie i/lub rootkity Fuzje i przejęcia Dokumenty lub dane wyciekają do konkurencji/ oszustwa związane z prawem własności intelektualnej Zasady firmowe/korporacyjne Wewnętrzne przestrzeganie Zachowanie pracowników niezgodne z przyjętymi normami Dystrybucja wiedzy i informacji pomiędzy działami, normy i procesy Identyfikacja i odnajdywanie zagrożeń dla organizacji Pracownicy Nękanie pracowników - mobbing Pracownicy nie realizujący swoich zadań Przemoc w pracy Przechowywanie zabronionych treści Kontrola pracowników kontraktowych/ zatrudnionych u dostawców Zgodność z normami SOX ISO27001 BASEL II Redukcja ryzyka/ Zwiększanie efektywności Lepsze dopasowanie do wymogów prawnych związanych z prowadzoną działalnością (np. Komisja Nadzoru Bankowego)
Czym jest Informatyka Śledcza
Stanowisko śledcze Oprogramowanie śledcze powinno dawać dostęp do różnych formatów danych Aplikacje Oprogramowanie śledcze powinno mieć dostęp do wszystkich metadanych oraz pomija OS Oprogramowanie śledcze powinno dawać dostęp do informacji ulotnych System operacyjny Pamięć Oprogramowanie śledcze nie wpływa na badany materiał, Oprogramowanie śledcze tworzy kopie na zasadach kopii binarnej, Widzę wszystko, nie zmieniam nic.
Why Computer Investigations? Akwizycja danych 1. Sprzęt. 1. Image MASSter Solo 3 Forensic KIT 2. Tableau Duplicator TD1 2. Oprogramowanie. 1. AccessData FTK Imager 2. DFLabs Digital Investigation Manager
Why Computer Investigations? Odzyskiwanie danych/haseł 1. Opcja (ok. 30% przypadków). 2. Pełne laboratorium. 3. Oprogramowanie. 4. Narzędzia sprzętowe.
Why Computer Investigations? Analiza danych 1. Narzędzia kompleksowe EnCase Forensic Forensic Toolkit 2.0 X-Ways Forensic 2. Narzędzia do zastosowań w poszczególnych przypadkach CD/DVD Inspector, ParabenEmail Examiner, Registry Analyzer, 3. Narzędzia pomocnicze Virtual Forensic Computing, Mount Image Pro, F-Response
Why Computer Investigations? Blokada zapisu Blokerjest podstawowym i najważniejszym, sprzętowym zabezpieczeniem nośników danych przed zapisem w trakcie kopiowania lub analizy. Producenci: 1. Tableau(T/K 3/4/5/8/9 i/e/s) 2. ICS(Drive Lock) 3. Guidance Software(Fast Bloc)
Why Computer Investigations? Analiza sieciowa 1. Informatyka śledcza Przygotowani ludzie, procesy i narzędzia, Możliwość gromadzenia dowodów elektronicznych, Natychmiastowa reakcja, Możliwość analiz wszystkich incydentów, Panowanie nad skalą incydentu, Spełnienie wymagań norm. 2. Korzyści dodatkowe Prewencyjna socjotechnika, Wymuszenie przestrzegania zasad i norm.
EnCase Enterprise / FIM Biuro A B iu r o B Podejście absolutne, ediscovery, AIRS SAFE SAFE Gromadzenie materiału zgodnie z zasadami WAN informatyki śledczej, Aggregation Database Examiner SAFE Siedziba główna Examiner Biuro C
NetWitness Total network knowledge, Pakiety TCPDump (.pcap) Etherpeek NetDetector Infinistream NetObserver Snort Rekonstrukcja sesji, Działanie w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej,
Spector 360 Pełna analiza aktywności użytkownika w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej,
Why Computer Investigations? Mobile Forensic 1. Mnogość modeli i standardów 2. Łatwość obsługi zestawu 3. Odczyt fizyczny 4. Sprzęt Narzędzia: 1..XRY/XACT/Sim Id Cloner 2. Neutrino 3. MobilEdit! 4. Cellebrite 5. Device Seizure Neutrino
Why Computer Investigations? Utylizacja danych 1. Sprzęt: degausser Mediaeraser MD 103, Garner Products 2. Oprogramowanie wipe out: MediaEraser Premium 3. Sprzęt wipe out: WipeMASSter ICS
mediarecovery Ul. Piotrowicka 61 40-723 Katowice Tel.: 0 32 782 95 95 Fax: 0 32 782 95 94 Internet: www.mediarecovery.pl biuro@mediarecovery.pl Pogotowie całodobowe 0 600 87 14 87