Zabezpieczanie, usuwanie i odzyskiwanie danych Tomasz Tatar Account Manager Warszawa, 30.09.2009r.
Transkrypt
Zabezpieczanie, usuwanie i odzyskiwanie danych Tomasz Tatar Account Manager Warszawa, 30.09.2009r.
Zabezpieczanie, usuwanie i odzyskiwanie danych Warszawa, 30.09.2009r. Tomasz Tatar Account Manager Agenda 1. 2. 3. O firmie. Dowód elektroniczny. Zabezpieczanie i analiza danych a) b) Informatyka śledcza. Narzędzia Informatyki Śledczej: • • • • • 4. 5. Akwizycja (zabezpieczenie) danych Analiza danych Blokowanie zapisu Mobile Forensic Analizy sieciowe Odzyskiwanie danych Utylizacja (usuwanie) danych O firmie 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Rok założenia 1998. Poświadczenie przemysłowe i własna kancelaria tajna. Największe laboratorium informatyki śledczej w tej części Europy. Profesjonalna kadra ekspertów i biegłych sadowych Dystrybutor sprzętu i oprogramowania do informatyki śledczej. Wykonywanie zleceń dla wszystkich organów ścigania • Wydawanie opinii • Zabezpieczanie danych Własne centrum szkoleniowe. Szeroka działalność edukacyjna (Ministerstwo Sprawiedliwości, MSWIA, Szkoła Policji w Szczytnie, KSOIN , KSP, Uniwersytet w Toruniu, Uniwersytet Śląski, własny ośrodek szkoleniowy), Projektowanie i budowa platform bezpieczeństwa informacji. Audyt. Why Computer Investigations? Elektroniczny świat Ponad 93% wszystkich informacji powstałych po 1999r ma postać cyfrową. (UC Berkeley Study) Informatyka śledcza Świat przestępczy Zorganizowana przestępczość / Podstawieni pracownicy / Sabotaż Pornografia/pedofila Wymuszenia Haracze Szantaż Ataki sieciowe Spam Malware Zasady firmowe/korporacyjne Wewnętrzne przestrzeganie Zachowanie pracowników niezgodne z przyjętymi normami Dystrybucja wiedzy i informacji pomiędzy działami, normy i procesy Identyfikacja i odnajdywanie zagrożeń dla organizacji Pracownicy Nękanie pracowników - mobbing Pracownicy nie realizujący swoich zadań Przemoc w pracy Przechowywanie zabronionych treści Kontrola pracowników kontraktowych/ zatrudnionych u dostawców Własność intelektualna Szpiegostwo przemysłowe Zgodność z normami Kontrola planów finansowych i SOX marketingowych ISO27001 Nieautoryzowane oprogramowanie i/lub BASEL II rootkity Redukcja ryzyka / Zwiększanie efektywności Fuzje i przejęcia Lepsze dopasowanie do wymogów prawnych Dokumenty lub dane wyciekają do związanych z prowadzoną działalnością (np. konkurencji / oszustwa związane z Komisja Nadzoru Bankowego) prawem własności intelektualnej Dowód elektroniczny • „Informacja w formie elektronicznej o znaczeniu dowodowym”, • Jest traktowany jako dowód z dokumentu lub rzeczowy, • Posiada specjalne cechy i wymaga szczególnego podejścia, Dowód elektroniczny - cechy • • • • Łatwość modyfikacji, Poszlakowy charakter, Równość kopii i oryginału, Szczególne podejście, Dowód elektroniczny – szczególne podejście Aby był dowodem musi być: 1. 2. 3. 4. Autentyczny. Wierny. Kompletny. Przystępny. Autentyczność – najważniejszy element • Łańcuch dowodowy (chain of custody) stanowi podstawę prawidłowego postępowania z dowodem elektronicznym. • NajwaŜniejszym elementem w łańcuchu jest autentyfikacja materiału, najlepiej z wykorzystaniem sum kontrolnych (np. MD5) odnotowanych w protokole zabezpieczania. Czym jest Informatyka Śledcza Stanowisko śledcze Oprogramowanie śledcze powinno dawać dostęp do różnych formatów danych Aplikacje Oprogramowanie śledcze powinno mieć dostęp do wszystkich metadanych oraz pomija OS System operacyjny Oprogramowanie śledcze powinno dawać dostęp do informacji „ulotnych” Pamięć Narzędzie śledcze nie wpływa na badany materiał, Narzędzie śledcze tworzy kopie na zasadach kopii binarnej, Widzę wszystko, nie zmieniam nic. Why Computer Investigations? Akwizycja (zabezpieczanie) danych 1. Sprzęt. 1. 2. 3. 2. Image MASSter Solo 3 Forensic KIT Tableau Duplicator TD1 RoadMASSTer 3 Oprogramowanie. 1. 2. AccessData FTK Imager DFLabs Digital Investigation Manager Why Computer Investigations? Analiza danych 1. Narzędzia kompleksowe • • • 2. EnCase Forensic Forensic Toolkit 2.0 X-Ways Forensic Narzędzia do zastosowań w poszczególnych przypadkach • 3. CD/DVD Inspector, Paraben Email Examiner, Registry Analyzer, Narzędzia pomocnicze • Virtual Forensic Computing, Mount Image Pro, F-Response Why Computer Investigations? Blokada zapisu Bloker jest podstawowym i najważniejszym, sprzętowym zabezpieczeniem nośników danych przed zapisem w trakcie kopiowania lub analizy. Producenci: 1. Tableau (TK 3/4/5/8/9 RW) 2. ICS (Drive Lock) 3. Guidance Software (Fast Bloc 3) Why Computer Investigations? Mobile Forensic 1. 2. 3. 4. Mnogość modeli i standardów Łatwość obsługi zestawu Odczyt fizyczny Sprzęt Narzędzia: 1. 2. 3. 4. .XRY/XACT/Sim Id Cloner Neutrino MobilEdit! Device Seizure Why Computer Investigations? Analiza sieciowa 1. Informatyka śledcza • • • • • • 2. Korzyści dodatkowe • • 3. Przygotowani ludzie, procesy i narzędzia, Możliwość gromadzenia dowodów elektronicznych, Natychmiastowa reakcja, Możliwość analiz wszystkich incydentów, Panowanie nad skalą incydentu, Spełnienie wymagań norm. Prewencyjna socjotechnika, Wymuszenie przestrzegania zasad i norm. 3 podejścia • • • Od stacji Od sieci Od użytkownika EnCase Enterprise / FIM Biuro A • Podejście „absolutne”, Biuro B • eDiscovery, • AIRS SAFE SAFE • Gromadzenie materiału zgodnie z zasadami WAN Aggregation Database Examiner SAFE Examiner Siedziba główna Biuro C informatyki śledczej, Bezpieczeństwo nie jest stanem, lecz procesem Sieć bezpieczna Skanowanie całej struktury w poszukiwaniu podobnych zagrożeń Zapisywanie/ Nadpisywanie Procedury Procedury reakcji reakcji na na zagrożenia zagrożenia Zabezpieczenie Zabezpieczenie całej całej sieci sieci Sprawdzenie podejrzanych urządzeń •Szybka reakcja na skalę całej sieci •Integracja monitoringu i dochodzenia •Tylko istotne dane! IDS/SIM Reakcja Reakcja na na zagrożenie zagrożenie Monitoring Monitoring Hacker, haker/ nieuczciwy pracownik/ Rogue Employee, zagrożenia ‘dnia zero’ Zero Day Event Podejście reaktywne i proaktywne Działania reaktywne Działania proaktywne Dziś MoŜliwość natychmiastowej, bieŜącej reakcji na Dowolny incydent (korelacja zdarzeń, zabezpieczanie dowodów itp.) MoŜliwość poszukiwania, analizowania i zabezpieczania informacji, które pozwolą wyeliminować incydent przed jego zaistnieniem Cały proces zabezpieczania i analizowania danych akceptowalny przez wymiar sprawiedliwości Architektura EnCase •niezależnie od platformy sprzętowej i systemowej Biuro A Biuro B •z kaŜdego komputera znajdującego się w sieci w ciągu kilku sekund Servlety Główna siedziba firmy Examiner Moduł SAFE Examiner •wszystko odbywa się bez ingerencji w pracę uŜytkowników sieci •wykrywanie nieautoryzowanych w sieci kanałów komunikacji •umoŜliwia deszyfrację określonych rodzajów kodowania •analizy jako materiał dowodowy w sądzie Dane Połączenia równoczesne pozwalają na: • Dyskretne analizy wielu maszyn jednocześnie przeprowadzane na poziomie dysku (bez ingerencji w system operacyjny) • Pozyskiwanie i zabezpieczanie danych potencjalnie związanych z prowadzonym dochodzeniem, zgodnie z procedurami sądowymi • Prewencyjne audyty określonego zakresu urządzeń sieciowych/uŜytkowników Pamięć robocza Zrzuty systemu (Snapshots) w połączeniach równoczesnych umoŜliwiają: • Skanowanie ponad 10.000 urządzeń w 30 minut • Niezwłoczną identyfikację wiarygodnych, potencjalnie niebezpiecznych, jak równieŜ nieznanych zdarzeń w sieci • Integrację z systemami wykrywania włamań IDS i systemami zarządzania bezpieczeństwem SIM, gwarantującą natychmiastową reakcję na potencjalne zagroŜenia Snapshot, czyli cyfrowy zapis systemu, pozwala na szybkie zapisanie ulotnych informacji dotyczących między innymi: - zawartości pamięci RAM - otwartych aktualnie plików - otwartych portów Pozwala to sposób bardzo dokładny odtworzyć - uruchomionych procesów/ ukrytych procesów całą infrastrukturę sieciową, włączając w to - sterownikach i dostępnych usługach serwery oraz stacje robocze - rejestru dynamicznego systemu Windows - uŜytkownikach i urządzeniach sieciowych Przykład: Dla kaŜdego procesu, uruchomionego na danej stacji roboczej, zapisywane są szczegółowe informacje o nim np. czy jest to proces ukryty, numer ID procesu, linię komend uŜytą do uruchomienia procesu, ścieŜkę dostępu, czas uruchomienia, sumę kontrolną MD5 itd NetWitness • „Total network knowledge”, • Rekonstrukcja sesji, • Działanie w trybie rzeczywistym, • Gromadzenie materiału zgodnie z zasadami informatyki śledczej, Pakiety • • • • • • TCPDump (.pcap) Etherpeek NetDetector Infinistream NetObserver Snort Spector 360 • Pełna analiza aktywności użytkownika w trybie rzeczywistym, • Gromadzenie materiału zgodnie z zasadami informatyki śledczej, Outsourcing usług Informatyki Śledczej 4 modele współpracy (podstawowy, zaawansowany, specjalistyczny, indywidualny). 1. 2. 3. 4. 5. Zabezpieczanie informacji ze wszystkich rodzajów nośników. Wyszukiwanie i szczegółowa analiza informacji. Usprawnienie i przyspieszenie działań audytowych. Analiza informacji. Specjalistyczne ekspertyzy. Why Computer Investigations? Utylizacja (usuwanie) danych 1. Utylizacja fizyczna i logiczna 2. Normy i akty prawne • przepisy ustawy o ochronie danych osobowych, • rozporządzenie MSWiA z 3 czerwca 1998 roku • wdrożone normy ISO 27001 i 17779 MoŜliwości: 1. Usługi utylizacji danych 2. Zakup sprzętu / oprogramowania Why Computer Investigations? Utylizacja danych 1. Sprzęt: degausser Mediaeraser MD 103, Garner Products 2. Oprogramowanie wipe out: MediaEraser Premium 3. Sprzęt wipe out: WipeMASSter ICS Why Computer Investigations? Odzyskiwanie danych/haseł 1. 2. Odzyskiwanie logiczne Odzyskiwanie fizyczne Skład pełnego laboratorium: 1. Pomieszczenie ESD 2. Sprzęt a) b) c) d) Komora laminarna Mikroskop Lutownice Akcesoria dodatkowe 3. Oprogramowanie a) Odczyt uszkodzonych dysków b) Łamanie haseł dyskowych c) Obsługa mikrokodów 4. Szkolenia Why Computer Investigations? Odzyskiwanie danych/haseł 1. 2. Oprogramowanie. Narzędzia sprzętowe. mediarecovery Ul. Piotrowicka 61 40-723 Katowice Tel.: Fax: 0 32 782 95 95 0 32 782 95 94 Internet: www.mediarecovery.pl [email protected] Pogotowie całodobowe 0 600 87 14 87