15:24
1/10/2014

Jeśli myślicie, że informatyka śledcza to nudne ślęczenie sądowego biegłego przed monitorem, praca zautomatyzowana i odtwórcza oraz polegająca jedynie na katalogowaniu “pirackich” mp3 lub dziecięcej pornografii, to jesteście w błędzie. Analiza zawartości dysków twardych to intelektualna przygoda, niekiedy pełna zaskakujących zwrotów akcji. Ale zacznijmy od początku…

Uwaga! Poniższa historia wydarzyła się naprawdę. Z wiadomych przyczyn, dane firmy i pracowników zostały zmienione.

Klonowanie pod osłoną nocy

W pewnej warszawskiej firmie w dziale zamówień pracowały Ania, Zosia i Kasia. Miały ładne wizytówki, całkiem przyzwoite pensje, ale co najważniejsze — całkowity wgląd do bazy kontrahentów. Kiedy przedsiębiorstwo zaczęło tracić kluczowych klientów, postanowiło zbadać zawartość komputerów swoich pracowników i zebrać ewentualne dowody ich nieuczciwych działań.

Tuż po zamknięciu firmy, późnym wieczorem nastąpiło sklonowanie dysków trzech komputerów stacjonarnych i jednego laptopa. Wiedział o tym jedynie prezes i jeden z ochroniarzy który wpuścił nas do budynku. Dyski twarde zostały wymontowane i za pomocą blokera podłączone do przenośnego komputera w celu wykonania ich kopii. Gdy suma kontrolna potwierdziła, że w trakcie klonowania nie dokonano żadnych zmian w zawartości nośników, zamontowano je ponownie. Mieliśmy pewność, że żadna z pracownic nie zauważy niczego następnego dnia.

Blocker Tableau (fot. ErrantX)

Blocker Tableau (fot. ErrantX)

Kiedy firma rozpoczynała kolejny dzień pracy, po naszej stronie trwała już wstępna analiza zabezpieczonych nośników. Pierwsze spostrzeżenie — wyczyszczona historia przeglądania stron na kilka minut przed wyjściem pracy. Ciekawe dlaczego?

Za pomocą specjalnego oprogramowania dało się ją i nie tylko ją odzyskać. Wynik: pełno wejść na strony konkurencyjnych firm, e-maile po angielsku, chińsku, zamówienia, Facebook, pudelek i przepisy kulinarne. Jak jednak odróżnić co stanowi „normalne” działanie firmy od działalności konkurencyjnej? Tu z pomocą przyszła oferta telefonii komórkowej…

Promocja na 1000 minut

Kasia, pracująca najdłużej w dziale zamówień usłyszała tego dnia dobrą wiadomość. Skończyła się umowa na jej telefon i w ramach nowej promocji dostanie świeżutkiego iPhone’a. Uff, ten Samsung z klapką pójdzie do lamusa. Telefon, zamiast do utylizacji trafił jednak do naszego laboratorium. Po włączeniu telefonu okazało się, że wszystkie SMS-y i kontakty zostały w nim usunięte. Jednak obecność rejestru połączeń upewniła nas, że nie doszło do przywrócenia telefonu do ustawień fabrycznych (por. Zanim sprzedasz swój stary telefon, zobacz jak go wyczyścić…).

Za pomocą specjalnego narzędzia udało się odzyskać kilkaset skasowanych wiadomości z ostatnich 5 miesięcy, akurat z okresu który nas najbardziej interesował. W SMS-ach pojawiał się wielokrotnie trzyliterowy skrót sugerujący nazwę jakiejś firmy… prezesowi nic on jednak nie mówił.

Po nitce do kłębka

Wszystkie dyski twarde zostały zindeksowane za pomocą słów kluczowych. Dzięki temu mogliśmy przystąpić do przeszukiwania zarówno przestrzeni przydzielonej jak i nieprzydzielonej, to znaczy danych usuniętych i częściowo nadpisanych na dysku twardym.

Znaleziona w pamięci telefonu fraza pokazała kilkanaście tysięcy rekordów, które należało dokładnie przebadać. Po dwóch godzinach klikania i odznaczania „false positivów” zostało zaledwie kilkaset plików, w których pojawiał się ten akronim. Te pliki stanowiły …usunięte fragmenty rozmów za pomocą komunikatora Gadu Gadu, w których to Ania tłumaczyła się Zosi, że od tego momentu „naszą” nową firmę będą oznaczać w taki sposób. No wiecie, tak, żeby nikt na to nie wpadł. Wpis do KRS został dokonany na męża Kasi, tak na wypadek wpadki. Kolejne informacje – kolejne słowa kluczowe…

Wszyscy kochamy Internet Explorer

Z ciekawości, pozyskane z zewnętrznej bazy dane wpisujemy w wyszukiwarkę naszego programu do analizy nośników. Kilka tysięcy wyników, wszystkie z przestrzeni nieprzydzielonej. Tym razem natrafiliśmy na obszerne fragmenty korespondencji e-mail. Nie są to szczątki informacji, nie są to przypadkowe śmieci. To prawie całe zachowane strony WWW webmaila z jednej z dużych firm hostingowych.

Wyciągnęliśmy wszystko co się dało i przystąpiliśmy do tworzenia ścieżki czasowej. Mając do dyspozycji:

    a) odzyskane wiadomości SMS ze starego telefonu Kasi
    b) udostępnione nam bilingi operatora telefonów używanych przez 
Zosię i Anię
    c) fragmenty rozmów za pomocą komunikatora GG u każdej z pracownic 

    d) e-maile i usunięte dokumenty (faktury, zamówienia) znalezione za pomocą słów kluczowych,

…udało się odtworzyć cały proceder przejmowania klientów.

Nauka na przyszłość

Niestety tego typu spraw jest coraz więcej. Jako technicy nie wnikamy w przyczyny ani nie oceniamy tego w kategoriach moralnych. Dostrzegamy tylko to, że dzięki zastosowaniu zdobytej wiedzy — nie tylko tej stricte technicznej, ale także dzięki umiejętność łączenia ze sobą przesłanek jesteśmy w stanie udowodnić, a tym samym uchronić firmy przed nie do końca uczciwymi pracownikami.

Ty też możesz posiąść część z tych umiejętności. Od dziś w ofercie szkoleniowej Niebezpiecznika dostępne są szkolenia z zakresu informatyki śledczej (nag. computer forensics).

Szkolenie, wbrew innym tego typu, kierujemy nie tylko do biegłych sądowych, ale przede wszystkim do administratorów firmowych sieci LAN — bo tę wiedzę powinien posiadać każdy z nich. Oczywiście informacje przekazywana na naszym szkoleniu przydadzą się także audytorom i pentesterom (zwłaszcza te pokazujące sztuczki związane z odzyskiwaniem danych i korelacją informacji pobranych z systemów).

W ramach dwudniowych warsztatów pokazujemy m.in. jak:

  • W odpowiedni sposób zabezpieczyć ślady incydentu, aby można je było wykorzystać w trakcie ewentualnej rozprawy sądowej
  • Uczymy obsługi kilkunastu specjalistycznych narzędzi pozwalających zebrać “materiał dowodowy” i poszerzyć wiedzę na temat tego “co właściwie się stało” oraz “jak do tego doszło”.
  • Pokazujemy jak analizować dane zebrane z systemów Windows, przeglądarek internetowych oraz komunikatorów.

Z pełną agendą zapoznacie się na stronie dedykowanej naszemu szkoleniu z informatyki śledczej. Szkolenie prowadzą doświadczeni trenerzy z z firmy VS DATA, którzy od kilku lat posiadają status biegłych sądowych, a na co dzień zajmują się zabezpieczaniem elektronicznych materiałów dowodowych, odzyskiwaniem danych i tworzeniem ekspertyz zarówno dla organów ścigania i wymiaru sprawiedliwości jak i zwykłych firm.

Zachęcamy do rejestracji na jego pierwszy termin: 27-28 października w Warszawie. Uczestnicy naszych pozostałych szkoleń otrzymują rabat i mogą nabyć szkolenie po promocyjnej cenie 1850 PLN netto.

Przeczytaj także:

99 komentarzy

Dodaj komentarz
  1. Wybaczcie lamerskie pytanie – czym wspomniany “blocker” różni się od zwykłego interfejsu USB/SATA ?

    • Blocker uniemożliwia zapis na dysku.

    • Sądząc z pytania – dla Ciebie główna różnica to cena…

    • Rozwinięcie lamerskiego pytania: czym różni się od Kali Forensics Mode z dyskiem wpiętym w USB-SATA?

    • Jezeli sie nie myle to blockery sa zabezpieczeniem dzieki, ktoremu mozna skopiowac dysk bez ryzyka zapisu czegokolwiek na dysku. Po prostu blokuja wszystkie komendy “write” wysylane do kontrolera dysku.

    • Czyli da to samo co dd z dysku pod linuxem (zakładając, że robiący to nie ma żadnych badziewnych automounterów itp bzdur). Czytaj – przy dd linux też żadnego write nie wyśle.

    • Hmm… “blocker” blokuje zapis, ma to sens ;), ale…

      Mimo wszystko jestem nieco zaskoczony, że konieczne jest blokowanie zapisów na poziomie sprzętu. W oczywisty sposób oznacza to, że nie ufamy interfejsom SATA i/lub kernelowi (inaczej wystarczyłoby użyciu forensics mode i zwykłe dd). Lub nie do końca ufamy sobie i eliminujemy możliwość popełnienia głupiego błędu :) No cóż, to trochę nie moja dziedzina, ale temat ciekawy.

      @Fred: gratuluję wiele wnoszącego do tematu komentarza :)

    • @Czajnik
      W `dd` różnica pomiędzy odczytem a zapisem to 3-5mm.

      Błędy się zdarzają. W kernelu i sprzęcie też. Nawet jeśli się nie zdarzą, to typowy sprzęt domowo-biurowy nie jest robiony z myślą o zapewnieniu określonego działania w przypadku sytuacji awaryjnej (np. nawalenie samego układu logicznego w wyniku znacznych wahań napięcia albo przeskoczenie wartości bitu w pamięci). Blocker powinien być robiony od podstaw właśnie z takim założeniem: świat może się walić, ale szanse na to, że pudełeczko przekaże polecenie zmieniające treść danych na dysku, muszą pozostać bliskimi 0.

    • Pogdybam jeszcze – a co jeśli dysk jest “sprytniejszy”, ma przerobiony firmware, który oczekuje na określoną komendę zapisu. Jeśli ją otrzyma “odblokuje się”; w przeciwnym przypadku podrzuci spreparowane dane. Ew. jakie inne sposoby na zabezpieczenie się można wykombinować (poza oczywistym szyfrowaniem dysku)?

    • @mpan
      Głównie chodzi o to, żeby w sądzie osoba robiąca kopię mogła powiedzieć, że na pewno nie dokonała zmian bo używała zabezpieczenia, którego producent zapewnił i zagwarantował, że zmian nie będzie.

    • @mpan tak, oczywiście, błędy się zdarzają (pracowałem sporo przy systemach embedded, więc wiem coś o tym ;) )! Ale właśnie – gdzieś w końcu trzeba postawić granicę.

      Być może moje oryginalne pytanie było zbyt ogólne, przyznaję, ale to co mnie w tym szczególnie interesuje, to właśnie jak daleko w tej “paranoi” posuwa się taki blocker. Przy cenie tego urządzenia nie sądzę, aby schodziło tak “nisko”, jak sugerujesz – byłoby raczej sporo droższe.

      Z ciekawości poszukałem PCB, ale znalazłem tylko dość małe zdjęcie wersji montowanej w zatoce 3.5″ – niestety za małe by dopatrzeć się oznaczeń :(

    • Blocker to nie paranoja, tylko standardowa praktyka jeśli chcesz mieć twarde dowody w sądzie.

    • Powinniście zobaczyć co się wyprawia zagranicą
      Tutaj nie ma żadnych regół zwłaszcza jak się jest imigrantem.
      Jak znajdziesz sie w potobnej sytuacji to uzywają mind games to make you crazy

  2. @up
    Blokuje zapis na dysku.

  3. Najmocniej przepraszam, ale czy ta Pani komunikowała się w tych sprawach przy pomocy służbowego telefonu (będącego własnością pracodawcy, gdzie billingi też ma pracodawca)?

    Jeśli tak to najdalej może nie pociągnąć.

  4. “Za pomocą specjalnego narzędzia udało się odzyskać kilkaset skasowanych wiadomości z ostatnich 5 miesięcy, akurat z okresu który nas najbardziej interesował.”

    Nie można było podać nazwy programu?

  5. Write blockers are devices that allow acquisition of information on a drive without creating the possibility of accidentally damaging the drive contents. They do this by allowing read commands to pass but by blocking write commands, hence their name.

  6. Hehe. Spodziewałem sie innej odpowiedzi typu “Takie szczegoly to na szkoleniu”

  7. “…wyczyszczona historia przeglądania stron na kilka minut przed wyjściem pracy. Ciekawe dlaczego?” – dostały cynk o akcji

    • Niekoniecznie.
      Administruje w firmie i część pracowników jak łącze im się po vnc na pulpit pierwsze co robi zanim mi się ekran odświeży to kasuje historię z przeglądarki.

      P

    • Przecież praktycznie każda przeglądarka oferuje automatyczne czyszczenie historii przed zamknięciem.

  8. To artykuł na temat bezpieczeństwa czy reklama?

    • Część z nas też uważała, że kolorowy, grający banner Flasha wyskakujący w popupie byłby lepszy. Łączymy się z Tobą w bólu! ;)

    • I koniecznie z uciekającym przyciskiem “zamknij” !

    • Ależ narzekanie, fajny artykuł, lepszy niż niejeden o wyrwanym bankomacie. A, że jest jednocześnie reklamą szkoleń? Hello, Niebezpiecznik jest blogiem firmy zarabiającej na opisywanej dziedzinie, to normalne że się przy okazji reklamują ;)
      A taki sposób jest 10 razy lepszy niż zwykły banner, po pierwsze nie wkurza, a po drugie pozwala uzyskać choćby te drobiny wiedzy jeśli ktoś (jak ja) traktuje bezpieczeństwo sieciowe jako hobby, a nie potencjalną pracę i na szkolenie pojechał by jedynie jakby takowe kosztowało max 100zł za 2+ dni ;)

      PS: A jak już jesteśmy przy banerach, zróbcie coś z tym pływającym po lewej bo jak czytam artykuły z okienkiem na pół ekranu, to zasłania i muszę blokować AdBlockiem :P

    • “I jest! W końcu widzę tę jedną parę tych rozumiejących mnie oczu”, cytując Dzień Świra. Podeślij adres na nasz e-mail, dostaniesz prezent :)

    • Nie myśleliście, żeby zrobić takie szkolenia dla hobbystów z jakąś przyzwoitą ceną? też bym się wybrał :)

  9. Jak znam niebezpiecznika – post się nie pojawi (cenzuraa).
    Nic odkrywczego – znacznie mniej nudne “śledztwa” przedstawić może większość “czynnych” informatyków.
    To po prostu reklamówka “szkolenia z informatyki śledczej” niebezpiecznika.

    • Zachecamy ich wiec do podzielenia sie historiami – z przyjemnoscia opublikujemy.

  10. Prywatna korespondencja, w szczególności ta gdzie nie można domniemywać jej służbowego charakteru (GG,webmail) – o ile nie jest to casus zmyślony na potrzeby marketingowe to cała ta zabawa wygląda na naruszenie art. 23 KC (m.in. tajemnica korespondencji) – rozumiem, że odpowiedzialność za to naruszenie (finansowa) została przez Was przerzucona na klienta, a co z karną?

    • To nie takie proste. W większosci firm w regulaminie pracy masz zapis, że sprzęt będzie wykorzystywany tylko do czynności służbowych. Tak więc pracodawca może zakładać, że wszystkie treści na dysku są służbowe.

    • @modus Jeżeli w firmie poczta stoi na MS Exchange a odzyskiwana korespondencja jest z yahoo to trudno mówić że pracodawca (lub jego zleceniobnaruszył tajemnicę korespondencji przez przypadek, “domniemując” że służbowa poczta przemigrowała do yahoo.

    • Jeszcze raz: “sprzęt będzie wykorzystywany tylko do czynności służbowych” – więc jeśli ktoś korzysta z konta Yahoo w pracy to domniemanie konto jest wykorzystywane do rzeczy związanych z pracą.
      Wbrew pozorom nie ma w tym nic dziwnego – zależnie od branży można mieć nawet po kilkaset służbowych kont na różnego rodzaju darmowych portalach.

    • @Sky
      “więc jeśli ktoś korzysta z konta Yahoo w pracy to domniemanie konto jest wykorzystywane do rzeczy związanych z pracą.”.

      Tu nie chodzi o to, do czego wykorzystywane jest konto, tylko kto jest jego właścicielem/administratorem. Jeżeli zostało utworzone na polecenie / za zgodą pracodawcy i jest gdzieś zaewidencjonowane jako zasób firmowy to pełna zgoda, ale jest to sytuacja mało prawdopodobna.

      Jeżeli pracodawca oddaje do użytkowania samochód służbowy, to czy może sobie domniemywać, że pozostawiony tam przez pracownika portfel z zawartością jest własnością pracodawcy? Czy domniemanie ma rację bytu, jeśli po otwarciu portfela zobaczy zdjęcia dzieci oraz paszport polsatu na nazwisko pracownika?

    • skanowanie nawet firmowej poczty nie do końca jest legalne, pracodawca musi o tym uprzedzić pracownika lub wyraźnie zawrzeć w umowie.

      Regułka ze sprzęt będzie używany tylko do czynności firmowych nie wiele pomoże w trakcie ew procesu.

  11. Mocno kontrowersyjne!
    http://kancelaria-gorazdowski.pl/kancelaria-prawna/aktualnosci/48-kontrola-korespondencji-e-mailowej-pracownika
    poza tym – działanie na szkodę pracodawcy nie obejmuje WYŁĄCZNIE czasu pracy. Poza godzinami też można i się za to odpowiada!

    • Zależy od kontraktu. Np. jeśli masz klauzulę wyłączności to nie możesz robić praktycznie niczego związanego z branżą poza godzinami pracy. Poza tym prawie każda firma w tych czasach ma klauzule nt. kontaktów z kontrahentami.

    • @Sky
      Nie żartuj – nie słyszałem o kontrakcie, w którym dozwala się pracownikowi na działanie na niekorzyść pracodawcy.
      Wydaje się, że mylisz “robotę na boku” ze szkodzeniem pracodawcy.

  12. Wykorzystywały komputery firmowe do prowadzenia własnej działalności i do tego jeszcze gadu-gadu i sms-y (zamiast po prostu rozmawiać między sobą, nawet przez tel. firmowy) – od razu widać, że te trzy panie to były blondynki.

  13. Co do istoty rzeczy się zgadzamy – rozróżnić należy używanie *służbowej poczty* do celów prywatnych, od uzywania *prywatnej poczty* (vel webmail czy przez analogię historia GG)- co może stanowić naruszenie np. regulaminu pracy czy AUP, ale nie upoważania pracodawcy do odczytywanie tej niewątpliwie prywatnej korespondencji.

    Cytat z zalinkowanego przez Ciebie artykułu:

    Nie wydaje się jednak trafny pogląd, iż oznaczona wymienionymi skrótami korespondencja pracownika jest w istocie korespondencja prywatną nie podlegającą kontroli skoro do jej wysyłania pracownik używa *konta służbowego*, a nie prywatnego. Natomiast zgodzić się należy z tezą, iż pracodawca nie może przeglądać korespondencji wysłanej i odbieranej przez *prywatne skrzynki e-mailowe*, choć wolno mu zablokować dostęp do prywatnych kont pocztowych podobnie jak do niektórych serwisów i witryn internetowych

    • Jeśli pracownik przegląda prywatną korespondencję na służbowym komputerze (będącym własnością pracodawcy), to wszystko zależy od regulaminu korzystania z firmowego sprzętu i treści umów o pracę. Pracodawca MOŻE zawrzeć klauzulę o możliwości ingerencji w KAŻDY plik czy też inną jednostkę danych, która będzie przez taki komputer przetwarzana i wówczas to na pracownika spada prawo zachowania własnej tajemnicy korespondencji poprzez NIE LOGOWANIE się na służbowym sprzęcie.

      Podobną praktykę stosuje się w moich projektach webowych, w różnym stopniu społecznościowych. “Administracja portalu zastrzega sobie prawo do ingerencji w treść wiadomości przesyłanych pomiędzy użytkownikami portalu za jego pośrednictwem, w szczególności do egzekwowania postanowień niniejszego regulaminu na podstawie naruszeń lub podejrzeń naruszeń opisywanych w w/w wiadomościach.”

    • @Lukasz032 – czy dobrze rozumiem, że sugerujesz, że wewnętrzny dokument przedsiębiorstwa może uchylać działanie ustawy i odesłać tajemnicę korespondencji w niebyt? Jeżeli tak się da, to czy możecie w swoim regulaminie zwolnić mnie z płacenia podatków w Polsce?

      ;)

    • @lubas: regulamin pracy to nie jest jakiś dokument wewnętrzny. To część umowy o pracę.
      Umowy która mimo ograniczeń narzucanych przez KP nadal jest dobrowolną umową 2 stron.
      I jeśli w takiej umowie zrzekasz się jakichś praw to się ich zrzekasz.

    • @istari To nie USA. Zaręczam, że nie możesz się zrzec prawa do wynagrodzenia, urlopu wypoczynkowego i paru innych rzeczy (zobacz art. 18 §1 i § 2 KP).

    • Tak wiem. Oprócz KP jest jeszcze parę innych aktów prawnych ograniczających strony podpisujące umowę o pracę. Ale wszystko co nie jest explicite zakazane może się w takiej umowie znaleźć w tym rezygnacja z tajemnicy korespondencji (no chyba że ostatnio się coś zmieniło, nie jestem na bieżąco).
      Po za tym, czy w tym wypadku można mówić o naruszeniu tajemnicy korespondencji? Przecież nie analizowano zawartości skrzynek pocztowych tych pań, a jedynie zawartość firmowych dysków twardych;)
      No i jak zaznaczyłeś to nie USA, w naszym systemie prawnym dozwolone jest wykorzystanie dowodów zdobytych z naruszeniem prawa.

  14. Co do tego że ktoś jest biegłym sądowym, to bez urazy tych co są fachowcami , ale większosći to chwały nieprzynosi jako specjalistom , bo tacy biegli niebywają ,albo 1 na 1000. Większość tylko chce dorobić a ma nikłe pojęcie w swoim temacie , zresztą ten temat jest mocno poruszany w wymiarze sprawiedliwości i gremiach ministerialnych co zmienić.
    To nie papier powinien decydować.
    Wpis oparty o doświadczenia

  15. Dla tego warto stosować TOR + szyfrowanie (TrueCrypt) + programy do wymazywania + jakieś wirusy bojowe ;D
    I wtedy żaden śledczy niestraszny

    • Zapomniałeś o lakierze do paznokci i miętówkach przy śrubkach oraz odłączaniu zasilania z RAM-u i ochronie przed Evil Maid ;)

    • O co chodzi z miętówkami?

    • Właśnie! Przyłączam się do pytania; o co chodzi z miętówkami? Bo o lakierze zdążyłem już u Was przeczytać…. :)

    • Kładziesz miętówke pod wycieraczke mieszkania przed wyjsciem rano na uczelnie, do pracy. Po powrocie sprawdzasz czy miałeś gości.
      @Robert: a te wirusy bojowe to do czego ? Zeby biegłego zainfekować ? Oni chyba raczej pracują na obrazie dysku i nie uruchamiają kazdej binarki znalezionej na analizowanym sprzecie.

    • “Dla tego warto stosować TOR + szyfrowanie (TrueCrypt) + programy do wymazywania + jakieś wirusy bojowe ;D
      I wtedy żaden śledczy niestraszny”

      Okradam pracodawce – co robić, jak żyć?

    • Przypomniało mi się jak stary admin łapał się każdorazowo kaloryfera aby “uziom” pozyskać ;)

  16. Dziwi mnie fakt ze ludzie ktorzy defacto prowadzili dzialalnosc przestepcza nie potrafia wykonac prostych dzialan aby nie bylo sladow.Przeciez wystarczylo uzywac prywatnego komputera i zaszyfrowac go TrueCryptem instalujac go oczywiscie na czystym systemie,ewentualnie na “brudnym” przed zaszyfrowanie nadpisac go trzykrotnie aby nie mozna bylo podejrzec co jest pod warstwa nadpisana zaszyfrowanymi danymi.Jaki to problem,narzedzie darmowe i proste w obsludze jak budowa cepa.Druga sprawa komunikacja-podstawa to druga tozsamosc internetowa.Nowy email.Do polaczen-jakis windowsik w wirualboxie+whonixowa brama,do tego VPN na hoscie,zza Tora jakis socks,email na np.safemail,szyfrowanie wiadomosci PGP i po temacie!

    • haha :D mimo że wygląda to strasznie i obłędnie, tak naprawdę jest to faktycznie do zrobienia w całkiem dobrym czasie :>

  17. Czytałem do końca z wypiekami na twarzy. I co? Złapano te dziewczyny czy nie? Byli faceci z kominiarkach z CBA na plecach? Może chociaż huk granatów?

  18. Bloker chyba nie blokuje zapisów SMART, więc rozgarnięta pracownica ;) jest wstanie zauważyć, że dysk był włączany, i że nastąpił bardzo duży odczyt danych. Pewnie zależnie od modelu dysku. Najlepiej by było zapisywać informacje ze smarta przed zamknięciem systemu i porównywać statystycznie po ponownym uruchomieniu.

  19. Aha, gdyby ktoś sądził, że szyfratory dysków coś dają to mam gotową odpowiedź – nie, nie dają (oczywiście jeśli narzędzie szyfrujące jest zawarte w pakiecie “służbowym”, ale instalowania oprogramowania firm trzecich najczęściej się zabrania zabierając im uprawnienia administratorów). Przecież 99% firm korzysta z windowsa ;)
    Do czego zmierzam, zaszyfrowane dyski można odszyfrować korzystając z rozwiązań bardzo prostych – rozwiązanie jakie znam ja firmy na M. używa do tego celu haseł które generowane są co 24h, “problem” z tym oprogramowaniem jest taki, że znając hasło np z 23 września 2014, ustawiamy w biosie datę na 23.09.2014 i przy pomocy narzędzi deszyfrujących dajemy radę. Identyczna sprawa ma się w przypadku MacOS, corpo klucze do FileVault i heja…
    Sprzęt dostarczony przez pracodawcę jest sprzętem służbowym a nie prywatną zabawką pani Joli służącą do pogaduch czy oglądania filmów. I pracodawca może sobie zrobić z tym co tylko mu dusza zapragnie, bo kto np zabroni wymienić z dnia na dzień komputer.
    I nie, nie ma tu żadnej kontrowersji, tym bardziej jeśli pracodawca ma dupochron w postaci np. podpisanej polityki bezpieczeństwa albo podpisanemu jakiegoś NDA.
    Bo takie coś wasz klient miał prawda niebezpieczniku?

  20. To artykuł czy moze tylko reklama?
    Ja zawsze myslalem, ze sumę kontrolną robi się w innym celu niż takim, zeby nie zauwazyl pracownik kopiowania :-)
    “…Gdy suma kontrolna potwierdziła, że w trakcie klonowania nie dokonano żadnych zmian w zawartości nośników, zamontowano je ponownie. Mieliśmy pewność, że żadna z pracownic nie zauważy niczego następnego dnia….”

  21. Fajna historyja ale mało szczegółów. Kiedy szkolenie będzie dostępne w Krk?.

  22. Korespondencja zawarta w komunikatorze gg miała typowo prywatny charakter, pracodawca nigdy nie zalecał pracownikom korzystania z takiego komunikatora (ponadto zabraniał instalacji jakichkolwiek programów bez jego zgody), wobec czego analizując archiwum wiadomości musiał mieć świadomość że uzyskuje dostęp do prywatnej korespondencji czym naruszył art. 267 par. 1 kk…..radzę wywiesić zaktualizowany regulamin zakładu pracy żeby nie było problemów.

    • A słyszałeś o art. 25 KK? Obrona konieczna dotyczy każdego dobra chronionego prawem. Dobrem takim niewątpliwie jest tajemnica przedsiębiorcy, więc złamanie “w odpowiedzi” tajemnicy korespondencji ma zupełnie naturalne uzasadnienie. Sąd zbada co najwyżej, czy nie doszło do przekroczenia granic obrony koniecznej, np. poprzez publikację pikantnych szczegółów z życia prywatnego w odpowiedzi na wyniesienie z firmy pudełka długopisów.

      @lubas – nie, regulamin firmy nie jest ważniejszy niż prawo. Stanowi jednak okoliczność, którą w razie zarzutu pracownika sąd weźmie pod uwagę – pracownik nie będzie mógł stwierdzić, że nie wiedział, iż nie powinien na dysku przechowywać swoich prywatnych danych. I tu niekoniecznie chodzi o sytuacje jak z artykułu, ale np. potencjalnej odpowiedzialności pracodawcy za dane, które pracownik utraci w wyniku awarii firmowego sprzętu, albo działania firmowego informatyka, który wymieni dysk, przeinstaluje system usuwając wszystkie dane, działania wirusa itp.

  23. Oj, ryzykujecie i wy i wasz zleceniodawca.
    Nie jest niezwykłe, że na dysku i w komórce pracownika znajdują się też jego informacje prywatne. Są one chronione na poziomie Konstytucji i żaden regulamin pracowniczy nie może tej ochrony zmniejszyć.
    Kiedyś mój służbowy komputer został zabezpieczony w firmie w czasie przeszukania i zanim instytucja która tego dokonała mogła sięgnąć do zapisów, potrzebne było odrębne postanowienie sądu. A dodatkowo zostałem przez pracodawcę poproszony o pisemną zgodę na wydanie moich prywatnych informacji.

  24. A jak bezpiecznik by sobie poradził, gdyby ‘specjalistki’ miały przygotowane zaplecze. Tzn.: wirtualna maszyna z szyfrowaną wersją systemu z pod której prowadziłyby swoją niecną działalność? Czy klon takiego dysku nadal byłby użyteczny?

  25. Jakby ktoś chciał się pobawić w informatykę śledczą, to tu jest program do tego:
    http://www.sleuthkit.org/autopsy/
    a tu są przykładowe zadania treningowe (kompletne, razem z obrazami dysków):
    http://wiki.sleuthkit.org/index.php?title=Case_Studies
    oraz
    http://www.honeynet.org/

  26. Jestem ciekaw, jak udało się Wam odzyskać usunięte rozmowy z gg i telefonu. Miałem ostatnio taką sytuację, że koleżanka miała wyłączone archiwum w gg, a chciałem coś znaleźć. Nawet pisanie do gg o prośbę przywrócenia zapisu rozmów było wg nich niemożliwe. Ponoć nie przechowują rozmów, jeżeli user wyłączył archiwum i/lub usunął.

    Co do telefonu, w samsungu na andku jak się usunie wiadomość to można ją odzyskać?

    • rozmowy z GG są zapisywane także w chmurze samo usunięcie rozmowy z archiwum nic nie da o ile osoba która usuwa archiwum korzysta ze starszej wersji komunikatora

    • No właśnie zespół gg twierdzi, że w ogóle nie są przechowywane. I tyczy się to nie tylko starej ale i nowej wersji. Jeżeli archiwum jest odznaczone, czyli brak zapisywania, to ponoć faktycznie tak jest. Jestem tylko ciekaw co w przypadku gdyby dostali nakaz sądowy o ujawnienie rozmów. Czy nagle by się znalazły wszystkie rozmowy?

  27. Nie ma co pijar godny premiera :)

  28. A co jeśli cała historia została zmyślona tylko po to, by na końcu zareklamować szkolenie Niebezpiecznika? :D

  29. Dodam coś od siebie co do blockera.

    Jaka jest różnica od różnych forensics mode? Prosta i jednoznaczna, w sądzie padnie temat możliwości preparowania danych. Jedynym UZNANYM i 100% dowodem jest użycie blockera. Czyli żeby dowody nie były podważone to należy użyć blockera, i przedstawić sumy kontrolne obrazu i dysku jako dowód, wtedy sąd ma pewność że dane nie były zmienione na dysku podejrzanego. Biegły pracuje na obrazie, a potem na dowód inny biegły może sprawdzić czy to samo jest na oryginalnym dysku.

    Jak widac różnica jest prosta, chcesz być biegłym i podać coś jako dowód w sądzie? Musisz mieć blockera :)

    • Ale chyba da sie też udowodnić jak coś zostało zmodyfikowane na kopiowanym dysku choćby po dacie modyfikacji, czy takie dane można wszystkie zmienić? chodzi mi o sytuacje kiedy klon danego dysku nie wykonamy blockerem a nadal chcemy aby taki dowód liczył sie w procesie.

    • Ale przecież jeśli po wykonaniu obrazu użytkownik będzie dalej pracował z dyskiem, to jego zawartość oraz wszelkie hashe się zmienią – z czego niby miałoby wynikać, że obraz jest na 100% dokładną kopią dysku w momencie klonowania, skoro sam dysk się od tego czasu zmienił?

  30. Czy bloker ma wpływ na SMART? Oczywiście to wiedza raczej wykraczająca ponad ramy pani Zosi, Kasi i Basi, ale cenna informacja na przyszłość – wynosisz klientów? Sprawdzaj Power On Hours.

  31. W jaki sposóbusunąć historię przeglądania, by nie dało się jej odzyskać żadnym oprogramowaniem?

    • Najskuteczniej to chyba hdd shredder :)

  32. Bloker nie jest konieczny jeśli używasz na przykład backtracka wystarczy zamontować dysk bez możliwości zapisu chociażby z backtrackiem. Wnioskuje więc że panowie używali windowsa ;-)

  33. To teraz przeczytaj artykuł jeszcze raz i zastanów się jaka wartość będzie z dysków z rzekomej sytuacji w sądzie. ..po co im wogole te sumy kontrolne :-)

  34. Dlaczego zadowoliliście się fragmentami rozmów gg? Przecież skoro dostaliście bilingi od operatora to znaczy, że sąd/prokurator wydał by i zgodę na wydanie pełnego archiwum przez firmę zarządzającą GG. Wszak posiadają oni kopie rozmów na swoich serwerach.

    • W dzisiejszych czasach własne bilingi ze strony operatora może pobrać każdy. Telefony były firmowe, więc zakładam, że albo bilingi przychodziły w formie papierowej wraz z fakturą, albo prezes miał dostęp do tych danych na stronie operatora. Nie trzeba było nakazu.

  35. Ten wpis jest jakiś dziwny, trochę niespójny i na pewno mało realistyczny.
    Trzy średnio rozgarnięte kobiety zakładają konkurencję dla jakiejś dużej firmy bazując na jej klientach, firma zamiast monitorowania na bieżąco poczty firmowej, bawi się w jakieś prywatne śledztwa i analizy dysków, które są 100 razy droższe, te pracownice niby są takie przebiegłe i dbają o prywatność, ale korzystają z firmowego komputera do załatwiania swoich lewych interesów – serio?
    W życiu zdarzają się różne historie, ale mi to śmierdzi dużym fejkiem, albo toną pudru. Wiem, że chodzi głównie o promocję szkolenia, ale bez przesady.

    • Nie do końca.
      W znajomej firmie też coś podejrzewali (kilka ładnych lat temu) i poprosili mnie o podsłuchiwane gg i sprawdzenie jest poczty.
      Po analizie danych z gg i poczty okazało się, że przez miesiąc puścił bokiem ponad 70 tyś. zł, a klientowi wmówił, że ta firma już nie handluje tym towarem.

  36. W ramach dodatkowej kary takie osoby powinno się dawać do wiadomości publicznej by przestrzec innych przed takimi działaniami. A inni ciężko pracują, a tacy co pracują to jeszcze na lewo działają ehh do piekła

  37. Var dumpa w toalecie każdy zrobi i po sprawie. :)
    W sumie w toalecie najwięcej ciekawych się rzeczy dzieje od rozmów… Po inne zindywidualizowane doświadczenia

  38. Telefon trafił do naszego laboratorium. Sam przyszedł? Bo jeżeli nie stanowił własności firmy, to widzę tutaj ewentualny kontrpozew tej pani.

  39. Sądzę, że wiele szczegółów tego zadania, droga redakcja niebezpiecznika pominęła, a część relacji załatwiła znanym i lubianym zaciemnianiem kodu. Stawiam na transformację kontroli :-) P.S. W podrozdziale “Nauka na przyszłość”, opis odnośnika do szkoleń z zakresu informatyki śledczej zawiera drobną literówkę.
    P.P.S Nie wiem dlaczego, ale pomyślałam wtedy o: 1. nagości. 2 naugalach…

  40. Czy ów blocker blokuje również S.M.A.R.T.a?
    Bo jeśli nie, to prosty skrypt/program i właściciel dysku wie, że ktoś grzebał.
    A detektyw nawet nie wie, że przy następnym uruchomieniu komputera na ekranie pojawi się wielkie czerwone okno informujące o podróżach w czasie.

  41. w pewnej malopolskiej firmie, ktora prowadzila ksiegowosc firmom, ponad 11 lat temu pracowaly 2 mlode panie
    zarabialy wtedy 3 razy wiecej niz ja, informatyk-admin, uwaga! 7000zl na reke
    wtedy!
    pracowaly od razu po studiach, skonczyly z wyroznieniem ue
    szefostwo zaczelo cos podejrzewac
    poproszono mnie o mozliwosc zbadania, czy cos przypadkiem nie wycieka – owa firma byla klientem inetowym firmy, w ktorej pracowalem
    mieszane uczucia mialem – spytalem o zgode szefostwo
    zainscenizowano kilka prac serwisowych, by poznac co te komputery tam mialy w srodku, czyli typowe sprawdzanie sieci, zainstalowanego softu, lacznie z listowaniem wszystkich plikow exe
    panie mnie znaly z widzenia i chyba ufaly, ze to nic dla nich groznego
    poszedl w ruch tcpdump itp.
    znalazlem w transmisji m.in. gg to co firme zainteresowalo
    sprowadzono profesjonalna firme do audytu, by ew. miec dowod w sadzie
    paniom natychmiast podziekowano za wspolprace, po tym jak, po moich pracach firma znalazla na dyskach to czego znalezc nie powinna

    owe panie wynosily dane i szly z nimi do konkurencji – dealerzy samochodow

    prezes firmy okazala mi wdziecznosc… m.in kupujac ksiazke Mitnicka a wyslala specjalnie swego kierowce do warszawy, do ksiegarni, by autor ja podpisal – nie zdarzyl

    tym su..m bylo malo – wcale nie bylo mi ich szkoda
    nie lubie toyoty

  42. Art fajny, choć oczywisty :) blocker się przydaje. tu nawet o kernela nie chodzi, ale o pewną automatykę zawartą w procedurach boot konkretncyh dystrybucji.

    w teorii można zrobić podsłuch pracownika, ale to wymaga poinformowania go o takich czynnościach, jak np. zbieranie info z aktywności. w tym przypadku podsłuchu nie było, lecz badanie śladu i na szczęście (w tym przypadku) pracownik od razu o tym wiedzieć nie musi.

  43. […] sprawę trzech pracownic pewnej firmy i wykonanego przez nie “przekrętu” (por. Zabawa w kotka i myszkę). W dzisiejszym wpisie dowiecie się – na poziomie technicznym – jakie informacje (w szybki i […]

  44. […] sprawę trzech pracownic pewnej firmy i wykonanego przez nie “przekrętu” (por. Zabawa w kotka i myszkę) oraz pokazaliśmy jak analizować zawartość pamięci RAM komputera. Z dzisiejszego odcinka […]

  45. […] plik. Dzięki takiemu podejściu, jest szansa, że profesjonalnymi narzędziami do informatyki śledczej uda się odzyskać “nienadpisany” jeszcze, a usunięty plik. Wypróbuj np. […]

  46. “wyczyszczona historia przeglądania stron na kilka minut przed wyjściem pracy. Ciekawe dlaczego?”

    no błagam :)))

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.