informatyka śledcza

Informatyka śledcza zwana również informatyką kryminalistyczną polega na badaniu dowodów elektronicznych. W dzisiejszych czasach coraz częściej posługujemy się pojęciem DFIR, które to sprowadza się do dwóch ścieżek podejścia do analizy.

Pierwszym, tradycyjnym podejściem jest badanie nośnika informacji (zazwyczaj dysku twardego) podłączonego za pomocą blokera (urządzenie fizycznie uniemożliwiające zapis na materiale dowodowym) do komputera, na którym wykonuje się analizę przy pomocy specjalistycznego oprogramowania – podejście to cechuje przede wszystkim dokładność analizy. Minusem jest jednak czas badania, który biegnie od zabezpieczenia – w tym wykonania kopii binarnej (1:1) – po indeksowanie zawartości (takie jak wyszukiwanie ciągów binarnych) oraz ręczną analizę wyników. Całość zazwyczaj trwa kilka dni ponieważ sama kopia binarna wykonuje się wiele godzin.

Drugim podejściem natomiast jest live forensics polegający na podejściu od strony reagowania na incydenty, kiedy to najbardziej kluczowy jest czas reakcji i w tym przypadku analiza wykonywana jest bezpośrednio na materiale dowodowym czyli włączonym systemie operacyjnym. Minusem jest jednak fakt, że jeśli w systemie działa złośliwe oprogramowanie typu rootkit to systemowe sygnały mogą być zakłamane – innymi słowy otrzymywane z wykonanych poleceń wyniki mogą być sfałszowane. Również sama analiza jest o wiele mniej dokładna niżeli w przypadku tradycyjnego podejścia opisanego w pierwszym przypadku.

Każde więc podejście ma swoje wady i zalety, co nie wyklucza możliwości ich łączenia – do tego jednak potrzebne jest doświadczenie w przeprowadzaniu takich analiz. Istnieje bowiem też możliwość wykonania obrazu dysku włączonego komputera jak również zabezpieczenia informacji przechowywanych w pamięci RAM – co z kolei pozwala na późniejszą wnikliwą analizę.

Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 978-83-01-19347-8) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN.

usług w zakresie bezpieczeństwa IT

Profesjonalne usług w obszarze bezpieczeństwa IT – red team (atak, ofensywne bezpieczeństwo) i blue team (obrona, defensywne bezpieczeństwo) w zakresie takim jak m.in. testy penetracyjne, red teaming, testy podatności, testy socjotechniczne, testy bezpieczeństwa, phishing, analiza powłamaniowa, threat hunting, threat intelligence, informatyka śledcza, reagowanie na incydenty, Security Operations Center (SOC), Intrusion Detection System (IDS), audyt kodu źródłowego, audyt konfiguracji, audyt bezpieczeństwa, biegły sądowy z zakresu informatyki poparte doświadczeniem, licznymi referencjami oraz branżowymi certyfikatami.

Ze względu na rozległe doświadczenie podejmujemy się również innych, nietypowych zleceń związanych z bezpieczeństwem teleinformatycznym. Zapraszamy do zapoznania się z naszymi sylwetkami zawodowymi.

Jesteśmy otwarci na partnerstwo biznesowe na zasadzie podwykonawstwa (w roli strony realizującej techniczne aspekty).

Referencje

ipn
Instytut Pamięci Narodowej (IPN)
onet
Onet
interia
Interia
wp
Wirtualna Polska
empik
Empik
home
Home.pl

Nota prawna

Wszystkie działania w tym przede wszystkim ataki są wykonywane w pełni legalnie, przez zarejestrowaną na terenie polski firmę Red Team. Działania podejmowane są tylko i wyłącznie w granicach polskiego prawa oraz wymagają pisemnej autoryzacji ze strony danej organizacji. Ataki realizowane są w sposób kontrolowany i mają za cel poprawę bezpieczeństwa, jak również zwiększenie świadomości pracowników na temat dzisiejszych zagrożeń takich jak ataki ukierunkowane (APT). W trakcie realizacji czynności dokładamy wszelkich starań, aby nie zakłócić pracy systemów. Wszystkie informacje pozyskane w trakcie prac traktowane są jako w pełni poufne, wliczając w to na życzenie również nazwę klienta.