Zabezpieczanie, usuwanie i odzyskiwanie danych Warszawa, 30.09.2009r. Tomasz Tatar Account Manager
Agenda 1. O firmie. 2. Dowód elektroniczny. 3. Zabezpieczanie i analiza danych a) Informatyka śledcza. b) Narzędzia Informatyki Śledczej: Akwizycja (zabezpieczenie) danych Analiza danych Blokowanie zapisu Mobile Forensic Analizy sieciowe 4. Odzyskiwanie danych 5. Utylizacja (usuwanie) danych
O firmie 1. Rok założenia 1998. 2. Poświadczenie przemysłowe i własna kancelaria tajna. 3. Największe laboratorium informatyki śledczej w tej części Europy. 4. Profesjonalna kadra ekspertów i biegłych sadowych 5. Dystrybutor sprzętu i oprogramowania do informatyki śledczej. 6. Wykonywanie zleceń dla wszystkich organów ścigania Wydawanie opinii Zabezpieczanie danych 7. Własne centrum szkoleniowe. 8. Szeroka działalnośćedukacyjna (Ministerstwo Sprawiedliwości, MSWIA, Szkoła Policji w Szczytnie, KSOIN, KSP, Uniwersytet w Toruniu, Uniwersytet Śląski, własny ośrodek szkoleniowy), 9. Projektowanie i budowa platform bezpieczeństwa informacji. 10. Audyt.
Why Computer Investigations? Elektroniczny świat Ponad 93% wszystkich informacji powstałych po 1999r ma postać cyfrową. (UC Berkeley Study)
Informatyka śledcza Świat przestępczy Zorganizowana przestępczość/ Podstawieni pracownicy/ Sabotaż Pornografia/pedofila Wymuszenia Haracze Szantaż Ataki sieciowe Spam Malware Własność intelektualna Szpiegostwo przemysłowe Kontrola planów finansowych i marketingowych Nieautoryzowane oprogramowanie i/lub rootkity Fuzje i przejęcia Dokumenty lub dane wyciekajądo konkurencji/ oszustwa związane z prawem własności intelektualnej Zasady firmowe/korporacyjne Wewnętrzne przestrzeganie Zachowanie pracowników niezgodne z przyjętymi normami Dystrybucja wiedzy i informacji pomiędzy działami, normy i procesy Identyfikacja i odnajdywanie zagrożeńdla organizacji Pracownicy Nękanie pracowników - mobbing Pracownicy nie realizujący swoich zadań Przemoc w pracy Przechowywanie zabronionych treści Kontrola pracowników kontraktowych/ zatrudnionych u dostawców Zgodność z normami SOX ISO27001 BASEL II Redukcja ryzyka/ Zwiększanie efektywności Lepsze dopasowanie do wymogów prawnych związanych z prowadzonądziałalnością(np. Komisja Nadzoru Bankowego)
Dowód elektroniczny Informacja w formie elektronicznej o znaczeniu dowodowym, Jest traktowany jako dowód z dokumentu lub rzeczowy, Posiada specjalne cechy i wymaga szczególnego podejścia,
Dowód elektroniczny - cechy Łatwość modyfikacji, Poszlakowy charakter, Równość kopii i oryginału, Szczególne podejście,
Dowód elektroniczny szczególne podejście Aby był dowodem musi być: 1. Autentyczny. 2. Wierny. 3. Kompletny. 4. Przystępny.
Autentyczność najważniejszy element Łańcuch dowodowy (chain of custody) stanowi podstawę prawidłowego postępowania z dowodem elektronicznym. NajwaŜniejszym elementem w łańcuchu jest autentyfikacja materiału, najlepiej z wykorzystaniem sum kontrolnych (np. MD5) odnotowanych w protokole zabezpieczania.
Czym jest Informatyka Śledcza
Stanowisko śledcze Oprogramowanie śledcze powinno dawać dostęp do różnych formatów danych Aplikacje Oprogramowanie śledcze powinno miećdostęp do wszystkich metadanych oraz pomija OS Oprogramowanie śledcze powinno dawać dostęp do informacji ulotnych System operacyjny Pamięć Narzędzie śledcze nie wpływa na badany materiał, Narzędzie śledcze tworzy kopie na zasadach kopii binarnej, Widzę wszystko, nie zmieniam nic.
Why Computer Investigations? Akwizycja (zabezpieczanie) danych 1. Sprzęt. 1. Image MASSter Solo 3 Forensic KIT 2. Tableau Duplicator TD1 3. RoadMASSTer 3 2. Oprogramowanie. 1. AccessData FTK Imager 2. DFLabs Digital Investigation Manager
Why Computer Investigations? Analiza danych 1. Narzędzia kompleksowe EnCase Forensic Forensic Toolkit 2.0 X-Ways Forensic 2. Narzędzia do zastosowań w poszczególnych przypadkach CD/DVDInspector,ParabenEmailExaminer, RegistryAnalyzer, 3. Narzędzia pomocnicze Virtual Forensic Computing, Mount Image Pro, F-Response
Why Computer Investigations? Blokada zapisu Blokerjest podstawowym i najważniejszym, sprzętowym zabezpieczeniem nośników danych przed zapisem w trakcie kopiowania lub analizy. Producenci: 1. Tableau (TK 3/4/5/8/9 RW) 2. ICS (Drive Lock) 3. Guidance Software (Fast Bloc 3)
Why Computer Investigations? Mobile Forensic 1. Mnogość modeli i standardów 2. Łatwość obsługi zestawu 3. Odczyt fizyczny 4. Sprzęt Narzędzia: 1..XRY/XACT/Sim Id Cloner 2. Neutrino 3. MobilEdit! 4. Device Seizure
Why Computer Investigations? Analiza sieciowa 1. Informatyka śledcza Przygotowani ludzie, procesy i narzędzia, Możliwość gromadzenia dowodów elektronicznych, Natychmiastowa reakcja, Możliwość analiz wszystkich incydentów, Panowanie nad skalą incydentu, Spełnienie wymagań norm. 2. Korzyści dodatkowe Prewencyjna socjotechnika, Wymuszenie przestrzegania zasad i norm. 3. 3 podejścia Od stacji Od sieci Od użytkownika
EnCase Enterprise / FIM Biuro A Biuro B Podejście absolutne, SAFE SAFE ediscovery, AIRS Gromadzenie materiału zgodnie z zasadami WAN informatyki śledczej, Aggregation Database Examiner SAFE Siedziba główna Examiner Biuro C
Bezpieczeństwo nie jest stanem, lecz procesem Sieć bezpieczna Zapisywanie/ Nadpisywanie Skanowanie całej struktury w poszukiwaniu podobnych zagrożeń Procedury reakcji na zagrożenia Zabezpieczenie całej sieci IDS/SIM Monitoring Szybka reakcja na skalę całej sieci Integracja monitoringu i dochodzenia Tylko istotne dane! Reakcja na zagrożenie Sprawdzenie podejrzanych urządzeń Hacker, haker/ Rogue Employee, Zero Day Event nieuczciwy pracownik/ zagrożenia dnia zero
Podejście reaktywne i proaktywne Działania reaktywne Działania proaktywne Dziś MoŜliwość natychmiastowej, bieŝącej reakcji na Dowolny incydent (korelacja zdarzeń, zabezpieczanie dowodów itp.) MoŜliwość poszukiwania, analizowania i zabezpieczania informacji, które pozwolą wyeliminować incydent przed jego zaistnieniem Cały proces zabezpieczania i analizowania danych akceptowalny przez wymiar sprawiedliwości
Architektura EnCase Biuro A Biuro B niezależnie od platformy sprzętowej i systemowej z kaŝdego komputera znajdującego się w sieci w ciągu kilku sekund Examiner Główna siedziba firmy Servlety wszystko odbywa się bez ingerencji w pracę uŝytkowników sieci wykrywanie nieautoryzowanych w sieci kanałów komunikacji Moduł SAFE umoŝliwia deszyfrację określonych rodzajów kodowania Examiner analizy jako materiał dowodowy w sądzie
Dane Pamięć robocza Połączenia równoczesne pozwalają na: Dyskretne analizy wielu maszyn jednocześnie przeprowadzane na poziomie dysku (bez ingerencji w system operacyjny) Pozyskiwanie i zabezpieczanie danych potencjalnie związanych z prowadzonym dochodzeniem, zgodnie z procedurami sądowymi Prewencyjne audyty określonego zakresu urządzeń sieciowych/uŝytkowników Zrzuty systemu (Snapshots) w połączeniach równoczesnych umoŝliwiają: Skanowanie ponad 10.000 urządzeń w 30 minut Niezwłoczną identyfikację wiarygodnych, potencjalnie niebezpiecznych, jak równieŝ nieznanych zdarzeń w sieci Integrację z systemami wykrywania włamań IDS i systemami zarządzania bezpieczeństwem SIM, gwarantującą natychmiastową reakcję na potencjalne zagroŝenia
Snapshot, czyli cyfrowy zapis systemu, pozwala na szybkie zapisanie ulotnych informacji dotyczących między innymi: - zawartości pamięci RAM - otwartych aktualnie plików - otwartych portów - uruchomionych procesów/ ukrytych procesów - sterownikach i dostępnych usługach - rejestru dynamicznego systemu Windows - uŝytkownikach i urządzeniach sieciowych Pozwala to sposób bardzo dokładny odtworzyć całą infrastrukturę sieciową, włączając w to serwery oraz stacje robocze Przykład: Dla kaŝdego procesu, uruchomionego na danej stacji roboczej, zapisywane są szczegółowe informacje o nim np. czy jest to proces ukryty, numer ID procesu, linię komend uŝytą do uruchomienia procesu, ścieŝkę dostępu, czas uruchomienia, sumę kontrolną MD5 itd
NetWitness Total network knowledge, Pakiety TCPDump(.pcap) Etherpeek NetDetector Infinistream NetObserver Snort Rekonstrukcja sesji, Działanie w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej,
Spector 360 Pełna analiza aktywności użytkownika w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej,
Outsourcing usług Informatyki Śledczej 4 modele współpracy (podstawowy, zaawansowany, specjalistyczny, indywidualny). 1. Zabezpieczanie informacji ze wszystkich rodzajów nośników. 2. Wyszukiwanie i szczegółowa analiza informacji. 3. Usprawnienie i przyspieszenie działań audytowych. 4. Analiza informacji. 5. Specjalistyczne ekspertyzy.
Why Computer Investigations? Utylizacja (usuwanie) danych 1. Utylizacja fizyczna i logiczna 2. Normy i akty prawne przepisy ustawy o ochronie danych osobowych, rozporządzenie MSWiA z 3 czerwca 1998 roku wdrożone normy ISO 27001 i 17779 MoŜliwości: 1. Usługi utylizacji danych 2. Zakup sprzętu / oprogramowania
Why Computer Investigations? Utylizacja danych 1. Sprzęt: degausser Mediaeraser MD 103, Garner Products 2. Oprogramowanie wipe out: MediaEraser Premium 3. Sprzęt wipe out: WipeMASSter ICS
Why Computer Investigations? Odzyskiwanie danych/haseł 1. Odzyskiwanie logiczne 2. Odzyskiwanie fizyczne Skład pełnego laboratorium: 1. Pomieszczenie ESD 2. Sprzęt a) Komora laminarna b) Mikroskop c) Lutownice d) Akcesoria dodatkowe 3. Oprogramowanie a) Odczyt uszkodzonych dysków b) Łamanie haseł dyskowych c) Obsługa mikrokodów 4. Szkolenia
Why Computer Investigations? Odzyskiwanie danych/haseł 1. Oprogramowanie. 2. Narzędzia sprzętowe.
mediarecovery Ul. Piotrowicka 61 40-723 Katowice Tel.: 0 32 782 95 95 Fax: 0 32 782 95 94 Internet: www.mediarecovery.pl biuro@mediarecovery.pl Pogotowie całodobowe 0 600 87 14 87