Informatyka śledcza

realizujemy eksperckie usługi z tego zakresu

Informatyka śledcza zwana również informatyką kryminalistyczną polega na badaniu dowodów elektronicznych pod kątem śladów aktywności.

W naszych szeregach posiadamy kilku biegłych sądowych z listy Sądu Okręgowego – zapraszamy do współpracy publiczne podmioty uprawione do powoływania biegłych.

Realizujemy eksperckie usługi z zakresu informatyki śledczej – Adam Ziaja jest biegłym sądowym (ponad 50+ opinii dla uprawnionych organów) z listy Sądu Okręgowego w Warszawie oraz autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 9788301193478) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN. Jest również współautorem publikacji Europejskiej Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) poświęconej w całości zagadnieniom informatyki śledczej „Digital forensics” (2013). W 2012 roku ukończył szkolenie zakończone egzaminem z obsługi programu X-Ways Forensics, będącego jednym z najpopularniejszych profesjonalnych programów dedykowanych do informatyki śledczej.

Praktyczna analiza powłamaniowa
„Praktyczna analiza powłamaniowa” Adam Ziaja, Wydawnictwo Naukowe PWN

W razie potrzeby jesteśmy w stanie skompletować większy zespół informatyków śledczych, w tym biegłych sądowych, wraz z dostępem do największego polskiego prywatnego laboratorium kryminalistycznego. Laboratorium wyposażone jest w najnowocześniejszy sprzęt do analiz danych dzięki czemu możemy przykładowo odblokować zaszyfrowany telefon. Bierzemy również udział w zabezpieczaniu sprzętu komputerowego, także na miejscu przestępstwa.

Za co cenią nas klieci?

 Najwyższe kompetencje z zakresu technicznych aspektów cyberbezpieczeństwa – zobacz konkretne kwalifikacje naszego zespołu.

 W realizacji prac biorą udział tylko i wyłacznie osoby z obszernym, a co najważniejsze weryfikowalnym doświadczeniem zawodowym na poziomie starszego konsultanta, każdy z nas jest praktykiem – w przeciwieństwie do konkurencji posiadamy realne kompetencje i nie czerpiemy z Internetu "doświadczenia" z informatyki śledczej.

 Przy zabiezpieczaniu danych korzystamy z profesjonalnego sprzętu – nie bazujemy na zabezpieczeniach na poziomie programów, a wykorzystujemy sprzętowe blokery dzięki czemu nie ma możliwości naruszenia integralności materiału dowodowego.

 Wykorzystujemy profesjonalne, dedykowane oprogramowanie do informatyki śledczej – oprogramowanie to jest kosztowne i zabezpieczone kluczami sprzętowymi dlatego konkurencja, która nie zajmuje się na co dzień informatyką śledczą, nie posiada takich narzędzi.

 Klient nie musi posiadać wiedzy eksperckiej – doradzamy, pomagamy wybrać najkorzystniejszą opcję i zawsze dostarczamy pracę najwyższej jakości, która podpisana jest nazwiskami konkretnych konsultantów realizujących dane zlecenie.

 Bezpieczeństwo to nasza kilkunastoletnia, prawie 20-letnia pasja – aktywne hobby i rozwój od końca lat 90-tych. Jest to główny powód dlaczego specjalizujemy się ekspercko w wielu dziedzinach cyberbezpieczeństwa, a zróżnicowana wiedza pozwala nam patrzeć z różnych stron na aspekty bezpieczeństwa organizacji.

W dzisiejszych czasach coraz częściej posługujemy się pojęciem DFIR, które to sprowadza się do dwóch ścieżek podejścia do analizy.

Pierwszym, tradycyjnym podejściem jest badanie nośnika informacji (zazwyczaj dysku twardego) podłączonego za pomocą blokera (urządzenie fizycznie uniemożliwiające zapis na materiale dowodowym) do komputera, na którym wykonuje się analizę przy pomocy specjalistycznego oprogramowania – podejście to cechuje przede wszystkim dokładność analizy. Minusem jest jednak czas badania, który biegnie od zabezpieczenia – w tym wykonania kopii binarnej (1:1) – po indeksowanie zawartości (takie jak wyszukiwanie ciągów binarnych) oraz ręczną analizę wyników. Całość zazwyczaj trwa kilka dni ponieważ sama kopia binarna wykonuje się wiele godzin.

Drugim podejściem natomiast jest live forensics polegający na podejściu od strony reagowania na incydenty, kiedy to najbardziej kluczowy jest czas reakcji i w tym przypadku analiza wykonywana jest bezpośrednio na materiale dowodowym czyli włączonym systemie operacyjnym. Minusem jest jednak fakt, że jeśli w systemie działa złośliwe oprogramowanie typu rootkit to systemowe sygnały mogą być zakłamane – innymi słowy otrzymywane z wykonanych poleceń wyniki mogą być sfałszowane. Również sama analiza jest o wiele mniej dokładna niżeli w przypadku tradycyjnego podejścia opisanego w pierwszym przypadku.

Każde więc podejście ma swoje wady i zalety, co nie wyklucza możliwości ich łączenia – do tego jednak potrzebne jest doświadczenie w przeprowadzaniu takich analiz. Istnieje bowiem też możliwość wykonania obrazu dysku włączonego komputera jak również zabezpieczenia informacji przechowywanych w pamięci RAM – co z kolei pozwala na późniejszą wnikliwą analizę.

informatyka śledcza, informatyk śledczy, biegły sądowy, analiza powłamaniowa, materiał dowodowy, DFIR, computer forensics, forensics, forensic, blue team

Referencje

ipn
Instytut Pamięci Narodowej (IPN)
reserved
Reserved (LPP)
askberry
Askberry
onet
Onet
interia
Interia
wp
Wirtualna Polska
empik
Empik
home
Home.pl

Eksperckie usługi w zakresie bezpieczeństwa IT

Red Team Red Team to wysoce wyspecjalizowana polska firma zajmująca się usługami z zakresu cyberbezpieczeństwa. Nasze kompetencje poparte są najbardziej uznanymi certyfikatami, referencjami od znanych podmiotów oraz doświadczeniem zawodowym na najwyższych technicznych stanowiskach, w znanych międzynarodowych firmach. Posiadamy eksperckie doświadczenie w wymienionych niżej dziedzinach:


Mapa przygotowanej oferty:


Red Team (atak, ofensywne bezpieczeństwo)

Blue Team (obrona, defensywne bezpieczeństwo)

Kompleksowy outsourcing cyberbezpieczeństwa, przeprowadzamy przede wszystkim audyty bezpieczeństwa teleinformatycznego (testy bezpieczeństwa). Zapraszamy do zapoznania się z naszymi sylwetkami zawodowymi. Ze względu na rozległe doświadczenie podejmujemy się również innych, nietypowych zleceń związanych z bezpieczeństwem teleinformatycznym.


  1. Operacje red teaming to autoryzowane ataki (symulacja) odzwierciedlające realne możliwości atakujących od warstwy sieciowej i socjotechniki po aspekty fizycznego bezpieczeństwa.
  2. Atak w postaci wysyłki wiadomości e-mail, która wygląda, jakby została wysłana przez osobę lub firmę znaną użytkownikowi.
  3. Zgodnie z prawem, tylko na zlecenie sądu lub organu państwowego prowadzącego postępowanie przygotowawcze w sprawach karnych.