Informatyka Śledcza dowód elektroniczny Przemysław Krejza, EnCE
Informacje o firmie Założona 1998, Lokalizacje Katowice, Warszawa, 25 osób (8 inżynierów CF), Największe istniejące laboratorium informatyki śledczej w Polsce, od 2005 roku ponad 2000 spraw, Kancelaria tajna, certyfikat ABW Szeroka działalność edukacyjna (Ministerstwo Sprawiedliwości, MSWIA, Szkoła Policji w Szczytnie, KSOIN, KSP, Uniwersytet w Toruniu, Uniwersytet Śląski, własny ośrodek szkoleniowy), Zatrudnieni biegli sądowi i audytorzy CISA i CIA, Dostawca rozwiązań najważniejszych producentów oprogramowania i sprzętu informatyki śledczej,
Why Computer Investigations? Elektroniczny świat Ponad 93% wszystkich informacji powstałych po 1999r ma postać cyfrową. (UC Berkeley Study)
Informatyka śledcza Własność intelektualna Szpiegostwo przemysłowe Zorganizowana przestępczość / Podstawieni pracownicy / Sabotaż Kontrola planów finansowych i marketingowych Nieautoryzowane oprogramowanie i/lub rootkity Fuzje i przejęcia Dokumenty lub dane wyciekają do konkurencji / oszustwa związane z prawem własności intelektualnej Pracownicy Nękanie pracowników - mobbing Pracownicy nie realizujący swoich zadań Przemoc w pracy Przechowywanie zabronionych treści Kontrola pracowników kontraktowych/ zatrudnionych u dostawców Zasady firmowe/korporacyjne Wewnętrzne przestrzeganie Zachowanie pracowników niezgodne z przyjętymi normami Dystrybucja wiedzy i informacji pomiędzy działami, normy i procesy Identyfikacja i odnajdywanie zagrożeń dla organizacji Zgodność z normami SOX ISO27001 BASEL II Redukcja ryzyka / Zwiększanie efektywności Lepsze dopasowanie do wymogów prawnych związanych z prowadzoną działalnością (np. Komisja Nadzoru Bankowego)
Informatyka śledcza W sprawie WTC materiał dowodowy pochodził z ponad 1000 komputerów
Informatyka śledcza Afera FOZZ, MTK, Większośd spraw politycznych (komisja), Incydenty w organizacjach,
Informatyka śledcza (computer forensic) FAZA 0 - INCYDENT FAZA 1 - ALERT FAZA 2 ZBIERANIE MATERIAŁU (ediscovery) FAZA 3 ODZYSKIWANIE DANYCH (opcja) Informatyka Śledcza FAZA 4 ANALIZA I RAPORT
Incydent tradycyjne podejście Systemy bezpieczeństwa Alert, IR Incident???
Incydent - problemy Jak poważny jest incydent? Jaka jest skala incydentu? Jak powstrzymać straty? Kto powinien się tym zająć? Jak zachować poufność? Jak zgromadzić dowody? Czy konieczne są kroki prawne?
Dowód elektroniczny Informacja w formie elektronicznej o znaczeniu dowodowym, Jest traktowany jako dowód z dokumentu lub rzeczowy, Posiada specjalne cechy i wymaga szczególnego podejścia,
Prawo cywilne a dowód elektroniczny Swobodna ocena dowodów Dokumenty (244 253 k.p.c.) Inne środki dowodowe (308 k.p.c., biegły) Zabezpieczenie dowodów (310 315 k.p.c.)
Dowód elektroniczny w postępowaniu administracyjnym Dopuszczalność dowodu (75 k.p.a.) Zebranie i rozpatrzenie materiału dowodowego (77 k.p.a.) Żądanie strony dotyczące przeprowadzenia dowodu (78 k.p.a.)
Prawo karne i dowód elektroniczny 217 1 k.p.k. (rozdział 25) 236a k.p.k. (nowela styczniowa) 115 k.k.
Dowód elektroniczny - cechy Łatwość modyfikacji, Poszlakowy charakter, Równość kopii i oryginału, Szczególne podejście,
Dowód elektroniczny szczególne podejście Aby był dowodem musi być: 1. AUTENTYCZNY 2. WIERNY 3. KOMPLETNY 4. PRZYSTĘPNY
1. Autentyczność najważniejszy element Łańcuch dowodowy (chain of custody) stanowi podstawę prawidłowego postępowania z dowodem elektronicznym. Najważniejszym elementem w łańcuchu jest autentyfikacja materiału, najlepiej z wykorzystaniem sum kontrolnych odnotowanych w protokole zabezpieczania.
MD5 Światowym standardem autentyfikacji dowodów jest algorytm RSA MD5. MD5 jest heksadecymalną, 32 znakową sumą kontrolną danych Zmiana jakichkolwiek danych w zabezpieczonym materiale = zmiana wartości MD5, C3DE7D53AE5D2ABB87B914199A5E3561
Proces informatyki śledczej Start Zabezpieczenie Akwizycja nośnika Narzędzia Analiza Odpowiedź na pytanie o wartości logicznej Narzędzia Raport Przedstawienie wyników, uzasadnienie 18
Co jest potrzebne? Ludzie co powinni wiedzieć? Procesy kiedy i jak? Technologia jakie narzędzia są potrzebne?
Ludzie Wyszkoleni i sprawni śledztwo jest bardziej sztuką niż wiedzą ale wymaga podstaw teoretycznych. Zrozumienie podstaw prawa, Wsparcie zewnętrzne trudne sprawy mogą wymagać pomocy, Wsparcie wewnętrzne: Aktywny udział zarządu, Dział prawny,
Procesy Różne podejścia hacking i malware jest czym innym niż naruszenia pracownicze, Działania powinny być uprawnione, Dowody powinny być gromadzone zgodnie z określonymi zasadami,
Technologia Lokalne stanowiska śledcze, Rozwiązania sieciowe, Zewnętrzne laboratoria,
Stanowisko śledcze Oprogramowanie śledcze daje dostęp do różnych formatów danych Aplikacje Oprogramowanie śledcze ma dostęp do wszystkich metadanych oraz pomija OS System operacyjny Oprogramowanie śledcze daje dostęp do informacji ulotnych Pamięd Oprogramowanie śledcze nie wpływa na badany materiał, Oprogramowanie śledcze tworzy kopie na zasadach kopii binarnej, Widzę wszystko, nie zmieniam nic.
Dochodzenie w sieci - Netwitness Pakiety Total network knowledge, Rekonstrukcja sesji, Działanie w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej, TCPDump (.pcap) Etherpeek NetDetector Infinistream NetObserver Snort
Dochodzenie w sieci Spector360 Pełna analiza aktywności użytkownika w trybie rzeczywistym, Gromadzenie materiału zgodnie z zasadami informatyki śledczej,
Dochodzenie w sieci EnCase Enterprise Biuro A Biuro B Podejście absolutne, ediscovery, SAFE SAFE AIRS Gromadzenie materiału zgodnie z zasadami WAN informatyki śledczej, Aggregation Database Examiner SAFE Siedziba główna Examiner Biuro C
Podsumowanie Informatyka śledcza Przygotowani ludzie, procesy i narzędzia, Możliwość gromadzenia dowodów elektronicznych, Poszerzone możliwości prawne, Natychmiastowa reakcja, Możliwość analiz wszystkich incydentów, Panowanie nad skalą incydentu, Spełnienie wymagań norm, Korzyści dodatkowe Prewencyjna socjotechnika, Wymuszenie przestrzegania,
Obsługa 7/24 +48 600 87 14 87 ul. Piotrowicka 61, 40-570 Katowice, tel. (32) 782 95 95 ul. Wołoska 18, 02-675 Warszawa, tel. (22) 640 23 23 www.mediarecovery.pl biuro@mediarecovery.pl