Monitoring pracowników w ujęciu informatyki śledczej Przemysław Krejza, EnCE, ACE Prezes Stowarzyszenia InfoTRAMS Prywatność zabezpieczenie interesów w pracodawcy, a prywatność pracownika w pracy "
Instytut informatyki śledczej ZałoŜony w grudniu 2008, Obecnie 150 członków, Zrzesza biegłych, prawników i specjalistów informatyki śledczej, Szeroka działalność edukacyjna (Ministerstwo Sprawiedliwości, MSWIA, Szkoła Policji w Szczytnie, KSP, Uniwersytet w Toruniu, Uniwersytet Śląski), Certyfikowany Informatyk Śledczy, Najlepsze praktyki informatyki śledczej.
ISO 27001 Informacja jest aktywem, który, podobnie jak inne waŝne aktywa biznesowe, ma dla instytucji wartość i dlatego naleŝy ją odpowiednio chronić.
Technologia sprzyja naduŝyciom Email do znajomego Wynoszenie na USB Wydruki Web-mail Obcy w sieci Blackberry
Odpowiedź: bezpieczeństwo systemów Kanały Email IM HTTP Copy / Paste Prnt screen USB Web Mail Blackberry Inne? Brama Drogi wycieku danych Host Sieć firmowa Sieć Internet Off-line Internet Sieć Off-line Internet Off-line nd nd nd nd nd nd nd nd nd nd nd nd nd nd
NaduŜycia Obecnie 93% informacji porusza się drogą elektroniczną, Między 70 a 95% dokumentów nie jest drukowane, Dane elektroniczne mogą stanowić 95% moŝliwych do zgromadzenia dowodów!* Źródło: Ernst&Young
Źródła informacji o naduŝyciach ACFE, 2008
Odpowiedź: informatyka śledcza Poszukiwanie Zabezpieczanie Analiza Informacji w formie elektronicznej mogącej mieć znaczenie dowodowe
Informatyka śledcza
Informatyka śledcza Zakłada, Ŝe kaŝda informacja moŝe mieć wartość dowodową, wszelkie działania muszą zatem prowadzić do sytuacji kiedy dowód jest: 1. Autentyczny 2. Wierny 3. Kompletny 4. Przystępny
Po pierwsze autentyczność Łańcuch dowodowy (chain of custody) stanowi podstawę prawidłowego postępowania z dowodem elektronicznym. NajwaŜniejszym elementem w łańcuchu jest autentyfikacja materiału, najlepiej z wykorzystaniem sum kontrolnych (np. MD5) odnotowanych w protokole zabezpieczania.
Po drugie wierność Wiem wszystko nie zmieniam nic
28 December 2010 13 Monitoring = total security Dane Monitoring Urządzenia Kopiowane Komputery Ruch sieciowy Lokalne Wydrukig Przesyłane USB
Monitoring z poziomu sieci Pakiety total network knowledge, TCPDump (.pcap) Etherpeek NetDetector Infinistream NetObserver Snort rekonstrukcja sesji, działanie w trybie rzeczywistym.
Monitoring z poziomu sieci
Monitoring z poziomu sieci
Monitoring z poziomu systemów pełna analiza aktywności uŝytkownika w trybie rzeczywistym
Monitoring z poziomu systemów
Monitoring z poziomu systemów
wielki brat Biuro A Biuro B wiem i widzę wszystko SAFE SAFE przeszłośćnie jest tajemnicą WAN Aggregation Database Examiner SAFE Siedziba główna Examiner Biuro C
Analiza stacji
Case study ediscovery Dane osobowe poza kontrolą banku Po włamaniu na jeden z serwerów www banku wyciekły dane, których tam nie było, Zarząd zdecydował się na audyt 580 komputerów, Tradycyjne techniki wymagałyby mozolnej analizy kolejnych komputerów.
Case study ediscovery 1. Rozproszenie servletów 2. Kwerenda ediscovery opisująca poszukiwane dane 3. Zgromadzenie dokumentów 4. Indeksacja 5. Przegląd 6. Raport wyników
Case study ediscovery Proces trwał łącznie 5 dni UŜytkownicy nie odczuli audytu, Na 35% komputerów ujawniono ponad 700 nieuprawnionych dokumentów i arkuszy, które zawierały dane osobowe klientów i były przechowywane na dyskach uŝytkowników.
Case study dochodzenie wewnętrzne Wieloletnia współpraca pracownika z firmą konkurencyjną: Jedna z Katowickich firm produkcyjnych zatrudniająca ok. 300 osób, Kilkunastoosobowy dział handlowy, Dobra pozycja rynkowa, Mała, jednak nadspodziewanie pręŝna konkurencja, Dobra infrastruktura IT i kontrolna, Anonimowy list wszczyna dochodzenie.
Obiekty zainteresowania Examiner Autoryzacja Wyniki SERWER Połączeni a
Wyniki Miesiąc obserwacji pozwolił zgromadzić materiał dowodowy: Maile z informacjami wysyłanymi do firmy konkurencyjnej, Rozmowy za pomocą web gg, Pracownik otrzymał wypowiedzenie dyscyplinarne ale zgodził się zeznawać przeciwko firmie konkurencyjnej
Case study dochodzenie wewnętrzne Pazerność bez granic: DuŜa firma telekomunikacyjna, DuŜe nakłady na infrastrukturę usługową, Współpraca z kilkoma firmami zewnętrznymi w zakresie rozbudowy tej infrastruktury, Pracownik IT przypadkowo wpada na dziwną informację.
Analiza off-line Servlety Kopia binarna Kopia binarnae Laptopy Serwery Kopia binarna Kopia binarnae Desktopy Examiner Nie wiadomo komu ufać Absolutna poufność 18 kopii binarnych wykonanych w nocy Analiza off-line 10Tb danych do przeanalizowania Backupy
Wyniki Analiza kopii binarnych ujawniła: ZaangaŜowane główne osoby z zaopatrzenia, księgowości i audytu, Główny organizator zapisywał gifty, Proceder trwał od dłuŝszego czasu, Została powiadomiona prokuratura. Zerwano współpracę z firmami zewnętrznymi
NaduŜycie wnioski KaŜda z firm wydawała się odporna na naduŝycia, śadna z firm nie miała przygotowanego planu incydentu, Wszystkie były zmuszone skorzystać z usług zewnętrznych.
Podsumowanie Status Quo Wiedza Kontrola Kontrola Ochrona Confidential Confidential Informatyka śledcza
Certyfikowany Informatyk Śledczy Celem szkolenia jest uzyskanie wiedzy na temat: najlepszych praktyk informatyki śledczej, aspektów prawnych związanych z elektronicznym materiałem dowodowym logicznej i fizycznej budowy nośników danych, prawidłowego zabezpieczania danych, a w szczególności autentykacji za pomocą sum kontrolnych, tworzenia łańcucha dowodowego, wykorzystywania odpowiednich technik i narzędzi.
Stowarzyszenie Instytut Informatyki Śledczej stowarzyszenie@siis.org.pl