www.hakerzy.net www.ccns.pl www.antynet.pl www.hcsl.pl www.i-slownik.

pl
Strony rekomendowane

Strony rekomendowane
www.mgibki.wordpress.com www.osdev.pl www.ochronainformacji.pl www.topsec.pl www.hackme.pl
 7/2010 (61)

SPIS TREŚCI

NARZEDZIA
6 Obudowa MIDI ATX iBOX Piano 3393
7 StrongRecovery

POCZĄTKI
8 Dysk twardy – budowa i działanie
Artur Skrouba
Niniejszy artykuł jest ogólnym zarysem budowy i działania dzisiejszych dysków twardych. W kilku słowach przybli-
ża nam też problematykę, w jaki sposób obchodzić się z naszym HDD, aby jego żywotność była jak najdłuższa.

OBRONA
14 Scapy
Michał Sajdak
Czy istnieje łatwy sposób na wygenerowanie niemal dowolnych pakietów? Czy można bez większych trudności
zmodyfikować przechwycony pakiet i wysłać go ponownie? Czy nieskomplikowanym zadaniem jest przygotowa-
nie fuzzera protokołu sieciowego?

OCHRONA DANYCH
25 Archiwizacja danych
Aleksander Tadeusz Ćwikliński
Niewielu użytkowników komputerów przywiązuje należytą wagę do archiwizacji plików. Często giną im bezpowrot-
nie bezcenne dokumenty lub zdjęcia, a niewiele trzeba, by temu zapobiec.

PRAKTYKA
30 ELEKTRONICZNI DETEKTYWI W AKCJI
Paweł Odor, Piotr Dembiński
Wiedza i umiejętności informatyków śledczych, także z Polski, pomogły już rozwiązać tysiące spraw sądowych
na całym świecie, w tym tych najpoważniejszych, związanych między innymi z głośnymi przestępstwami gospo-
darczymi, pedofilią bądź kradzieżą poufnych danych. Wciąż jednak działania prowadzone w ramach informatyki
śledczej są niemalże obce nie tylko firmom tracącym przychody przez oszustów komputerowych, ale nawet samej
branży IT.

4 7/2010
 HAKIN9 7/2010

SPIS TREŚCI

BEZPIECZNA FIRMA
36 Endpoint Security
Paweł Śmigielski
Zdecydowana większość firm zabezpiecza swoje sieci i komputery przed atakami z zewnątrz, stosuje antywirusy,
firewalle i systemy wykrywania włamań. Jednocześnie zapominamy o zagrożeniach ze strony swoich własnych
pracowników. W artykule poznamy różne rozwiązania chroniące przed wyciekiem i utratą danych ze stacji robo-
czych.

WYWIAD
45 Na pytania odpowiada Paweł Odor, główny specjalista Kroll Ontrack w Polsce

FELIETON
48 Cyberwojna
Patryk Krawaczyński

Miesięcznik hakin9 (12 numerów w roku) Dział reklamy: adv@software.com.pl

jest wydawany przez Software Press Sp. z o.o. SK

Redakcja dokłada wszelkich starań, by publikowane w piśmie

Redaktor naczelny:
Katarzyna Dębek katarzyna.debek@software.com.pl
Projekt okładki: Agnieszka Marchocka
Skład i łamanie:
Tomasz Kostro www.studiopoligraficzne.com
i na towarzyszących mu nośnikach informacje i programy były
poprawne, jednakże nie bierze odpowiedzialności za efekty
wykorzystania ich; nie gwarantuje także poprawnego działania
programów shareware, freeware i public domain.
Wszystkie znaki firmowe zawarte w piśmie są własności
odpowiednich firm.
Zostały użyte wyłącznie w celach informacyjnych.

Kierownik produkcji:
Andrzej Kuca andrzej.kuca@software.com.pl Osoby zainteresowane współpracą prosimy o kontakt:
cooperation@software.com.pl

Adres korespondencyjny:
Software Press Sp. z o.o. SK,
ul. Bokserska 1, 02-682 Warszawa, Polska
tel. +48 22 427 36 91, fax +48 22 224 24 59
www.sdjournal.org cooperation@software.com.pl

www.hakin9.org 5
 NARZĘDZIA
Obudowa
MIDI ATX iBOX
Piano 3393
Obudowa Midi ATX iBOX Piano 3393 nie wy-
różnia się niczym specjalnym pod względem
konstrukcyjnym, aczkolwiek posiada cieka-
wy i futurystyczny design. Tak jak opisuje producent
jest drapieżna i dosyć ładnie dobrana kolorystycznie,
czarny i niebieski naprawdę ciekawie razem wyglądają.
Koszt obudowy kształtuje się w granicach 115-160 zł.
Dane techniczne:
• wymiary (wysokość 412mm / szerokość 185mm /
głębokość 403mm),
• ilość zatok 5,25”: 4 szt.,
• ilość zatok 3,5”: 7szt. (5 wewnętrznych/ 2 zewnętrzne),
• wentylatory: 120 mm podświetlany niebieską diodą
LED z przodu + miejsce na 80mm wentylator z tyłu
obudowy,
• obudowa nie posiadała zasilacza w zestawie,
• wyprowadzone wyjścia na zewnątrz: 2xUSB, wej-
ście i wyjście audio.
Najciekawszym elementem tej obudowy jest wyświe-
tlacz (model wyświetlacza MY320-1LCD) połączony
z kontrolerem pracy wentylatorów chłodzących zamon-
towanych wewnątrz w zależności od aktualnej tempera-
tury pracy całego komputera. Ponadto wyświetlacz ten
może wskazywać: aktualną godzinę, czas pracy kom-
putera od momentu włączenia (maksymalny czas to 99
godzin i 59 minut), aktualny status pracy dysku (kiedyś
sygnalizowane to było za pomocą pojedynczej diody).
Mnie osobiście najbardziej interesował fakt montażu.
Obudowę tą wykorzystałem przy składaniu mojego naj-
nowszego nabytku. Zestaw, który sobie złożyłem (bez
wdawania się w konkretne modele): płyta główna ATX,
karta graficzna z chipsetem ATI HD 5770, 2 dyski twar-
de SATA, nagrywarka Blue Ray, zasilacz o mocy 600W,
2 moduły po 2GB RAM.
Boki obudowy można ściągnąć bez używania narzę-
dzi jednak już w środku, nie ma mowy o montażu bez
narzędzi, trzeba użyć śrubokręta. Fakt ten jednak nie
dziwi, jeżeli spojrzymy na przedział cenowy obudów na
rynku i raczej jest to standardem.
6 7/2010
Producent
iBOX
Typ
Obudowa
Strona producenta
www.ibox.pl
Recenzent
Andrzej Kuca
OCENA «««««
Zasilacz i płytę główną zamontowałem bez problemu,
ale to nie powinno dziwić, a raczej powinno być normą,
jednak ta obudowa okazała się być bardzo mała i cia-
sna.
Niestety z 5 wewnętrznych zatok 3,5” mogę skorzy-
stać z maksymalnie 3 zatok. Oczywiście mało kto mon-
tuje więcej niż 2 dyski w swoim komputerze, ale jeże-
li znajdzie się ktoś taki to zdecydowanie to odradzam,
w moim przypadku karta graficzna blokuje 2 miejsca na
dyski. Wielkość tej obudowy sprawia również problem
przy podłączania kabelków SATA do dysków twardych
i ładnego ich schowania.
Niestety to nie koniec wad tej konstrukcji, na obudo-
wie (po tym jak się ściągnie folie ochronne) bardzo ła-
two zostają odciski palców, a boki i cała konstrukcja do-
syć łatwo się wygina, zaznaczę jednak, że to dotyczy
wielu obudów w tym przedziale.
Reasumując, obudowa prezentuje się elegancko i po-
siada dosyć ciekawy moduł wyświetlacza LCD. Podczas
montażu mocniejszych zestawów komputerowych mogą
wystąpić problemy z montażem zbyt dużych i zbyt dużej
ilości elementów, niestety w takim wypadku trzeba z wy-
dłużonym czasem przeznaczonym na składanie swoje-
go upragnionego PC-ta. I jeszcze jedna uwaga, nie prze-
stawiajcie jej za często, a jak już to musicie zrobić to naj-
lepiej użyjcie kawałka materiału, aby później nie było po-
trzeby usuwać śladów waszej interwencji.
 Narzędzia
Odzyskiwanie
danych
Nie ma chyba bardziej wrażliwej części syste-
mu komputerowego niż dane. Każdy sprzęt,
każdy system jesteśmy w stanie szybko pod-
mienić, zastąpić itd., z danymi natomiast rzecz ma
się inaczej. W centrach danych, na serwerach firmo-
wych i przy komputerach strategicznych, administrato-
rzy zdają sobie sprawę co znaczy odzyskiwanie danych
oraz jak ryzykowny i skomplikowany jest to proces, dla-
tego też stosowane są różnego rodzaje zabezpieczenia
przed utratą danych.
Wypadałoby tu wymienić przede wszystkim: ko-
pie bezpieczeństwa, obrazy systemu, mirroring syste-
mu, różnego typu metody zarządzania dyskami (RA-
ID-y), jednakże nie w każdym przypadku są to rozwią-
zania skuteczne lub możliwe do zastosowania. Meto-
dy te chronią głównie przed awariami systemów, co jed-
nak jeżeli nie jest możliwe zastosowanie żadnej z po-
wyższych? W obecnym czasie wykorzystuje się różno-
rakie nośniki danych – karty SD, pendrivy, dyski przeno-
śne, czy chociażby dyski na urządzeniach przenośnych
niemające w każdej chwili możliwości wykonania kopii
bezpieczeństwa – nie zawsze mamy możliwość odpo-
wiedniego zabezpieczenia danych.
Co więc zrobić, żeby odzyskać utracone już dane?
W zasadzie istnieją dwie możliwości uzależnione od
ważności danych i stopnia zdeterminowania do ich od-
zyskania. Odzyskiwanie we własnym zakresie za po-
mocą dedykowanego oprogramowania albo skorzysta-
nie z profesjonalnej firmy do odzyskiwania danych (np.
Ontrack, Mediarecovery). Na jakie zagrożenia są nara-
żone nośniki danych? Wyróżniamy dwa rodzaje uszko-
dzeń: logiczne i fizyczne. Fizyczne, pomijając uszko-
dzone nośniki przenośne (płyty CD, DVD) są raczej nie
do odzyskania bez specjalistycznego laboratorium. Na-
tomiast uszkodzenia logiczne często udaje się rozwią-
zać za pomocą oprogramowania dedykowanego. Jed-
nym z komercyjnych rozwiązań takiego oprogramowa-
nia jest program strongrecovery – spróbujmy się mu
przyjrzeć bliżej.
Aplikacja pozwala na odzyskiwanie formatów plików
takich jak FAT12, FAT16, FAT32, NTFS i RAW (tzw.
www.hakin9.org
Producent
StrongRecovery
Typ
Program narzędziowy
Strona producenta
www.strongrecovery.com
Recenzent
Tomasz Zarychta
OCENA «««««
surowe) – obsługuje większość popularnych forma-
tów plików BMP, JPG, MP3, DOC, ZIP, RAR, EXE itp.
Na pewno mocną stroną programu jest prosty i przej-
rzysty interfejs, odzyskiwanie plików nie będzie w tym
przypadku trudne nawet dla początkującego użyt-
kownika. Po uruchomieniu wybieramy partycję, którą
chcemy skanować w celu odnalezienia plików do po-
tencjalnego odzyskania. Odzyskiwanie plików może-
my zawęzić do danego rodzaju plików (np. tylko MP3
lub video). Skanowanie jest względnie szybkie, a do-
datkową zaletą jest możliwość zapisania sesji skano-
wania i późniejszego powrotu do niej. Oprogramowa-
nie jednak przeznaczone jest dla mało wymagających
użytkowników. Odzyskanie zdjęć z karty pamięci, do-
kumentu z pendriva jest proste, łatwe i przyjemne.
Problemy zaczynają się przy bardziej skomplikowa-
nych operacjach – program potrafi pracować jedynie
z dyskami logicznymi, co to znaczy? Nie masz party-
cji, nie ma odzyskiwania. Profesjonalne programy po-
trafią pracować na dyskach fizycznych, a nie tylko lo-
gicznych. Brak także możliwości skanowania oraz od-
zyskiwania plików poprzez sieć znacznie obniża funk-
cjonalność programu.
Kolejną bolączką niepozwalającą zaklasyfikować
go do profesjonalnych narzędzi jest brak możliwości
pracy na obrazie dysku. Praca na obrazie dysku po-
zwala mieć pewność, iż nie nadpiszemy żadnych da-
nych i nie będziemy ingerować w jego strukturę. Ma
to kapitalne znaczenie np. dla informatyki śledczej, je-
żeli celem odzyskania danych jest nie tylko fizyczne
otrzymanie pliku, ale także potwierdzenie jego obec-
ności na badanym nośniku. Bardziej wymagających
użytkowników zniechęci także brak edytora heksade-
cymalnego. Może razić brak opcji wyboru języka, ma-
ło kiedy spotyka się oprogramowanie polskie, a in-
terfejs dostępny jest tylko w języku angielskim. Sko-
ro oprogramowanie przeznaczone jest dla mniej za-
awansowanych użytkowników, to w moim przekona-
niu powinna być także polska wersja językowa wraz
z instrukcją.
7
 POCZĄTKI
Dysk twardy – budowa
i działanie
Artur Skrouba
Niniejszy artykuł jest ogólnym zarysem budowy i działania
dzisiejszych dysków twardych. W kilku słowach przybliża
nam też problematykę, w jaki sposób obchodzić się
z naszym HDD, aby jego żywotność była jak najdłuższa.
Dowiesz się:
• jaką rolę pełni dysk twardy,
• jak jest zbudowany dzisiejszy HDD,
• zarys działania twardego dysku,
• jakie są mocne i słabe strony HDD,
• jak należy postępować aby maksymalnie zwiększyć żywot-
ność HDD.
D
la większości z nas twardy dysk jest po prostu
zamkniętym pudełkiem, w którym znajdują się
nasze dane. Niestety bardzo często brak pod-
stawowej wiedzy o jego konstrukcji oraz niewłaściwe
obchodzenie się z nim doprowadza nas do bezpowrot-
nej utraty zawartych na min danych. Dlaczego nie wol-
no otwierać twardego dysku? Jak działa twardy dysk?
Dlaczego należy obchodzić się z nim jak z przysłowio-
wym jajkiem? Dlaczego należy sprawdzać temperaturę
HDD i dbać, aby nie był zakurzony? Na te i na wiele in-
nych pytań postaramy się odpowiedzieć.
Rola twardego dysku
Dzisiejsze dyski twarde znacznie różnią się od pierwszych
rozwiązań pamięci maszyn przetwarzających dane.
Powstałe w pierwszej połowie XIX wieku karty, a na-
stępnie taśmy dziurkowane służyły do obsługi prostych
maszyn (np. w fabrykach produkcyjnych) wg zakodo-
wanych na nich bardzo prostych sekwencji. Dopiero
pod koniec pierwszej połowy XX wieku, wraz z powsta-
niem podwalin elektronicznych maszyn liczących (opar-
tych jeszcze o technologię lampową i elektromagnetycz-
ne przekaźniki) zaczęto szukać innych rozwiązań umoż-
liwiających bardziej efektywne magazynowanie i prze-
twarzanie coraz większej ilości danych. W konsekwencji,
prawdziwy przełom przyniósł dopiero rozwój techniki pół-
przewodnikowej – wkrótce potem zaczęto konstruować
pierwsze rozwiązania, wykorzystujące ferromagnetycz-
ne właściwości niektórych stopów metali. Jednym z ta-
8 7/2010
Powinieneś wiedzieć:
• mieć ogólne pojęcie o funkcjonowaniu i budowie komputera
osobistego.
kich rozwiązań były bębny magnetyczne (pamięć bębno-
wa). Równocześnie bardzo szybko zaczęto używać po-
wszechnie stosowane magnetyczne taśmy magnetofo-
nowe oraz konstruować pierwsze twarde dyski.
Dzisiejszy twardy dysk pełni jedną z najważniejszych
funkcji w komputerach osobistych. Przechowywane są na
nim wszystkie dane użytkowe i konfiguracyjne systemu
operacyjnego. Jest także jednym z podstawowych nośni-
ków pamięci masowych umożliwiających przechowywa-
nie, edycję i zapis danych operacyjnych użytkownika.
Budowa twardego dysku
Dysk twardy (ang. Hard Disk Drive – HDD) jest urządze-
niem pamięci nieulotnej (stałej), która przechowuje da-
ne zakodowane cyfrowo na szybko obracających się ta-
lerzach (ang. platers). Talerze są sztywne (stąd w angiel-
skiej nazwie słowo hard) – do ich produkcji wykorzystuje
się materiał niemagnetyczny – szkło lub aluminium. Na
nich napylony jest półtwardy ferromagnetyk, który umoż-
liwia sformowanie stabilnych domen magnetycznych
i przechowywanie w nich kierunkowo namagnesowa-
nych dipoli magnetycznych. W pierwszych dyskach jako
ferromagnetyku używano trójtlenku żelaza; w latach póź-
niejszych został on zastąpiony przez stop kobaltu.
Cała mechanika jest zamknięta w szczelnej obudo-
wie, posiadającej filtrowane otwory wentylacyjne, któ-
re odprowadzają część ciepła oraz wyrównują ciśnienie
wewnątrz dysku. Dyski są zamykane w warunkach ste-
rylnych; nawet odrobina kurzu będącego w powietrzu
 Budowa i żywotność HDD
atmosferycznym błyskawicznie doprowadzi do degra-
dacji samego nośnika podczas jego pracy.
Talerze są osadzone na piaście łożyska silnika napę-
dzającego twardy dysk. W dzisiejszych konstrukcjach
stosuje się od 1 do 4 talerzy (bardzo rzadko więcej).
Większa ilość talerzy (spotykana częściej w latach
80 i 90 ubiegłego stulecia) zwiększała ryzyko awarii
poszczególnych głowic.
Kluczowym elementem mechaniki każdego dysku
jest ruchome ramię (pozycjoner), na końcach którego
zamontowane są szczotki głowic. Składa się on z ob-
rotowego łożyska osiowego (na którym jest zamonto-
wany), ramienia (umożliwiającego pracę głowic nad
oraz pod każdym z talerzy) oraz elektromechanicz-
nego serwomechanizmu magnetycznego, umożliwia-
jącego dokładne i szybkie pozycjonowanie głowic nad
zadanym obszarem talerzy.
Sama konstrukcja pozycjonera jest bardzo precyzyjna
i delikatna. Spowodowane jest to dwoma czynnikami:
• coraz większymi wymogami dotyczącymi precy-
zji pozycjonowania (ze względu na coraz większe
upakowanie danych na platerach),
• coraz większymi wymogami szybkości reakcji me-
chaniki (np. czas dostępu do pofragmentowanych
bloków danych).
Rysunek 1. A - talerz dysku (plater); B - piasta silnika dysku; C - głowica dysku; D - ramię pozycjonera dysku; E - serwomechanizm dysku; F -
oś pozycjonera dysku; G - przedwzmacniacz sygnału; H - �ltr wentylacyjny
www.hakin9.org
Powyższe wymagania doprowadziły do minimalizacji
poszczególnych elementów mechaniki twardych dys-
ków. Dotyczy to w szczególności ich wagi i rozmiarów.
Nowoczesne dyski posiadają domeny mniejsze niż 10 nm
(0,000001 mm) – wymaga to ogromnej precyzji oraz mak-
symalnie małej masy ramienia pozycjonera umożliwiającej
błyskawiczne ruchy nad obszarem roboczym platerów.
Ponadto, w większości dzisiejszych dysków na po-
zycjonerze zamontowany jest różnicowy przedwzmac-
niacz sygnału (ang. preamplifier, potocznie: preamp),
umożliwiający dostarczenie stabilnego sygnału do mo-
dułu elektroniki zewnętrznej (Rysunek 1).
Moduł elektroniki zewnętrznej zamontowany jest na
zewnątrz dysku. W dużym uproszczeniu jest to mikro-
komputer obsługujący w pełni (od wprowadzenia stan-
dardu ATA wprowadzono integrację kontrolera) wszyst-
kie operacje wykonywane przez twardy dysk. Składa
się z kilku podstawowych bloków (Rysunek 2).
To co najbardziej odróżnia dyski między sobą to inter-
face sygnałowy oraz prędkość obrotowa.
W chwili obecnej dominują dwa standardy (wraz
z ich pochodnymi):
• word serial interfaces – rodzaj interface pracują-
cego w sposób równoległy – najbardziej znane
standardy to IDE (ATA), EIDE oraz SCSI,
9
 POCZĄTKI
• modern bit serial interfaces – rodzaj interface pra-
cującego w sposób szeregowy. Interfejs w przeci-
wieństwie do swojego poprzednika przesyła da-
ne szeregowo. W porównaniu z poprzednikiem nie
jest to naraz kilkadziesiąt sygnałów, tyko jeden –
ale za to nieporównywalnie szybciej. Najbardziej
znane standardy to FC, SATA czy SAS.
Prędkość obrotowa dzisiejszych twardych dysków mie-
ści się w przedziale od 4.200 do 15.000 obrotów na mi-
nutę (ang. Revolutions Per Minute – RPM). Prędkości
z niższego przedziału stosowane były w starszych mo-
delach oraz w dyskach stosowanych do urządzeń prze-
nośnych. Natomiast prędkości od 7.200 wzwyż stosowa-
ne są w nowoczesnych dyskach oraz wydajnych rozwią-
zaniach serwerowych bądź workstation (SAS, SCSI).
Jak działa dysk twardy
W momencie kiedy włączymy komputer w pierwszej
kolejności pracę zaczyna procesor sygnałowy dys-
ku. Odczytuje on procedury zawarte w biosie dysku,
które uruchamiają silnik HDD. Po osiągnięciu założo-
nej prędkości obrotowej platerów uruchomiony zosta-
je serwomechanizm pozycjonera, który przesuwa jego
ramię nad obszar talerza zawierający mikrooprogramo-
wanie wewnętrzne samego nośnika. Obszar ten nazy-
wa się strefą serwisową dysku (ang. Service Area, po-
tocznie : SA).
Rysunek 2. A - procesora sygnałowego - jednostki zarządzającej pracą całego nośnika; B - pamięci ROM - zawierającej oprogramowanie
proceduralne; C - interface sygnałowego - np. ATA, SATA; D - pamięci podręcznej RAM - buforującej zapis i odczyt; E - modułu zasilania oraz
kontroli pracy silnika; F - bloku sterującego serwomechanizmem pozycjonera
10
Osiągnięcie minimalnej prędkości jest niezbędne
do wytworzenia się pod końcówkami pozycjonera (tuż
przed szczotkami głowic) tzw. poduszki powietrznej,
która unosząc lekko głowice nie dopuszcza do ich fi-
zycznego kontaktu z wirującym platerem.
W następnej kolejności głowice odczytują zamiesz-
czone w SA fabryczne moduły wsadowe zawierające
takie informacje jak nazwa dysku, nr seryjny, fizyczny
translator dysku (stworzony w oparciu o fabryczną li-
stę zawierających błędy sektorów) oraz adaptywne pa-
rametry pracy głowic.
Po poprawnym odczycie struktur serwisowych dysk
zgłasza komunikat status ready – w tym momencie zo-
staje on wyświetlony w biosie komputera i jest gotowy
do pracy – może odczytywać i zapisywać dane.
Większość dzisiejszych dysków posiada głowice
magneto-rezystywne – odczyt stanu logicznego po-
szczególnych domen magnetycznych polega na zmia-
nie rezystancji głowicy odczytującej w zależności od
polaryzacji zawartych w nich dipoli.
Sam zapis dokonuje się poprzez zmianę natężenia
pola magnetycznego (generowanego przez głowicę)
– w dyskach twardych głowica magnesuje ferromagne-
tyk, aż do pełnego nasycenia (zmiana kierunku nama-
gnesowania dipoli), wykorzystując właściwości histere-
zy magnetycznej. Po namagnesowaniu domeny i usu-
nięciu pola magnesującego półtwardy ferromagnetyk
pozostaje stabilnie namagnesowany.
7/2010
 Budowa i żywotność HDD
Mocne strony HDD
Najważniejszą zaletą dzisiejszych twardych dysków
jest ich pojemność. Wciąż trwają badania nad ich roz-
wojem we wszystkich liczących się laboratoriach na
świecie. Tak duże upakowanie danych jest możliwe
między innymi dzięki wciąż rozwijającym się technolo-
giom badawczym.
Jednym z ostatnich takich przykładów jest zastoso-
wanie tzw. zapisu prostopadłego, który umożliwia du-
żo większe upakowanie danych (domeny magnetyczne
nie są ułożone płasko na nośniku tylko są skierowane
w głąb warstwy paramagnetycznej) oraz większą szyb-
kość działania dysku. Zastosowanie tej technologii teo-
retycznie umożliwia upakowanie danych w ilości ok. 1
TB na cal kwadratowy. Oznacza to, że wg dzisiejszych
standardów budowy dysków 3,5 calowych (4 platery,
osiem powierzchni roboczych) możliwe będzie konstru-
owanie dysków o pojemności ok. 300 TB.
Kolejną ważną cechą dzisiejszych twardych dys-
ków jest ich cena i dostępność. Dzisiejszym standar-
dem jest dysk. ok. 500 GB co przy cenie ok. 200 PLN-
jest najbardziej korzystną ofertą na rynku pamięci ma-
sowych w przeliczeniu PLN za 1 GB.
Należy wspomnieć też o mobilności i zadowalającej
prędkości nowoczesnych HDD. Występują one w róż-
nych rozmiarach zewnętrznych – począwszy od 0,8 ca-
la i kończąc na dyskach 3,5 calowych. Umożliwia to sto-
sowanie ich do nawet bardzo małych urządzeń (typu te-
lefony, kamery czy aparaty) oraz stosowanie jako pamię-
ci przenośne.
Słabe strony HDD
Niewątpliwie do najsłabszych stron dysków twardych na-
leży ich niska odporność na awarię. Ze względu na swo-
ją konstrukcję narażone są one w sposób szczególny na
wszelkiego rodzaju czynniki udarowe (uderzenia, puk-
nięcia, upadki).
Kolejnym czynnikiem, który ma destrukcyjny wpływ na
ich żywotność jest wysoka temperatura, która powstaje
w czasie pracy nośnika. Może ona doprowadzić do fi-
zycznej degradacji samego nośnika i w konsekwencji do
nieodwracalnego zniszczenia zawartych na nim danych.
Zwiększenie żywotności HDD
W 1992 r. firma IBM po raz pierwszy zastosowała
w swoim twardym dysku (SCSI) pierwowzór systemu,
który pozwalał monitorować pracę nośnika. Implemen-
tacja ta z biegiem czasu ewoluowała i doprowadziła
do powstania standardu S.M.A.R.T. (ang. Self-Monito-
ring, Analysis and Reporting Technology), który pełni
rolę swojego rodzaju systemu wczesnego ostrzegania
przed możliwością wystąpienia awarii.
W wielu przypadkach monitorowanie na bieżąco pa-
rametrów S.M.A.R.T. umożliwia nam kontrolę takich
parametrów pracy dysku jak:
www.hakin9.org
• temperatura,
• pojawianie się nieresponsywnych sektorów (ang.
bad sectors),
• ilość włączeń i wyłączeń dysku,
• łączny czas pracy dysku.
Prawidłowe reagowanie na ew. nieprawidłowości (np.
S.M.A.R.T. wykazuje za wysoką temperaturę pracy
dysku) pozwoli nam w znaczny sposób wydłużyć ży-
wotność naszego nośnika.
Niestety należy pamiętać, że powyższy system ofe-
ruje tylko bierną kontrolę działającego nośnika; nie
uchroni on nas przed konsekwencjami wystąpienia
nagłej awarii spowodowanej innymi czynnikami.
Dlatego też należy przestrzegać kilku zasad, które po-
zwolą zminimalizować szanse awarii twardego dysku:
• w komputerach stacjonarnych należy regularnie
kontrolować czystość; gruba warstwa kurzu na
dysku potrafi bardzo szybko doprowadzić do deka-
libracji termicznej dysku,
• jeżeli to możliwe zamontujmy w komputerze wen-
tylator skierowany na dysk, będzie on skutecznie
zmniejszał temperaturę podczas pracy dysku i jed-
nocześnie spowalniał proces osadzania się kurzu,
• komputer stacjonarny nie powinien stać pod biur-
kiem w pobliżu naszych nóg; nawet lekkie uderze-
nia (szczególnie podczas jego pracy) mogą być
zabójcze dla naszego HDD,
• komputer nie powinien być umiejscowiony w pobli-
żu źródeł ciepła, np. kaloryfera,
• jeżeli mamy komputer umiejscowiony na biurku
(stacjonarny, bądź przenośny), nie wolno nam ude-
rzać w jego blat (szczególnie podczas pracy – dysk
jest narażony na dekalibrację mechaniczną),
• należy pamiętać, aby nie pozostawiać na dłuższy
czas pracującego komputera (oczywiście z wyjąt-
kiem sytuacji, gdzie jesteśmy do tego zmuszeni),
• komputery przenośne (np. laptopy) mają mało wy-
dajny system wentylacyjny; dlatego też absolutnie
nie wolno wykonywać na nich dłuższych prac (po-
wyżej kilkunastu minut) w warunkach, w których
może doprowadzić to do przegrzania dysku. Przy-
kładem może tu być praca na miękkim podłożu, ta-
kim jak koc, bądź pościel – w takich warunkach
skuteczność systemu odprowadzania ciepła spada
niemal do kilkunastu procent,
• dyski zewnętrzne są dużo mocniej narażone na
czynniki udarowe lub termiczne; dotyczy to w szcze-
gólności dysków 3.5 calowych (wg statystyk ok. po-
łowy z nich ulega awarii do ok. roku czasu !) – dlate-
go powinny być one traktowane w sposób wyjątkowo
ostrożny. Optymalnymi warunkami pracy takich dys-
ków jest znalezienie dla nich bezpiecznego miejsca
na biurku i bez zwisających na wierzchu przewodów,
11
 POCZĄTKI
• wybierajmy zawsze zewnętrzne dyski, które leżą,
a nie stoją (dotyczy 3.5 calowych) – dyski stojące
często ulegają przewróceniu,
• nie przesuwajmy i nie podnośmy dysku zewnętrznego
(podczas pracy jest to szczególnie niebezpieczne),
• ograniczmy do maksimum przypadki przenoszenia
dysku,
• dyski 2.5 calowe są w sposób szczególny narażo-
ne na nawet delikatne naciśnięcia – w takich sytu-
acjach często dochodzi do nieprawidłowego zatrzy-
mania (zarycia się) głowic na wirującym platerze,
• przed każdym przenoszeniem dysku należy pomy-
śleć o ich stosownym zabezpieczeniu – nie należy
przenosić luzem dysku bez żadnego zabezpieczenia
– w razie przypadkowego upadku szansa na utratę
dostępu do danych wynosi sporo ponad 90%,
• występowanie anomalii napięciowych jest istną
zmorą, jeżeli chodzi o uszkodzenia elektroniki dys-
ków twardych. W tego typu sytuacjach elementem
najbardziej zawodnym jest zasilacz komputera –
dlatego zwróćmy uwagę na jego jakość.
Przestrzeganie powyższych i wielu innych, podstawo-
wych zasad pozwoli nam wydajnie zwiększyć żywot-
ność naszych dysków i zminimalizować do minimum
ryzyko wystąpienia awarii.
W tym miejscu należy jednak stwierdzić, że metody
bierne nie zmniejszają szans wystąpienia utraty danych
z przyczyn logicznych (skasowanie danych, format,
itp.). Tutaj jedyną metodą jest systematyczność w okre-
sowym wykonywaniu kopii zapasowych. Jest to jedyna
pewna metoda zabezpieczenia przed utratą danych.
Podsumowanie
Mamy nadzieję, że przedstawiony powyżej zarys budowy,
działania i warunków pracy twardego dysku pozwoli Czy-
telnikowi w bardzo ogólnym pojęciu przybliżyć specyfikę
urządzenia jakim jest dysk twardy. Wbrew pozorom jest to
bardzo skomplikowane urządzenie wymagające szcze-
gólnej staranności obchodzenia się z nim, nawet w czasie
codziennej pracy. W przypadku awarii samodzielne próby
jego naprawy, bądź odzyskania danych wiążą się ogrom-
nym ryzykiem związanym z koniecznością posiadania du-
żej wiedzy i specjalistycznego laboratorium.
Niestety, w ostatnim okresie na polskim rynku pojawia
się bardzo wiele firm oferujących taką usługę, jednak jej ja-
kość pozostawia wiele do życzenia. W całej tej masie firm
jest tylko kilka, które dysponują stosowną wiedzą i warsz-
tatem pozwalającym odzyskać dane we wszystkich moż-
liwych przypadkach (tzn. tam gdzie fizycznie jest to możli-
we). Dlatego każdy, kto zechce skorzystać z takiej usługi,
powinien bardzo starannie dokonywać wyboru firmy, bądź
osoby, której chcemy powierzyć swoje nośniki w celu od-
zyskania danych. Kuriozalne jest to, że na rynku można
spotkać coraz więcej firm lub osób reklamujących się jako
12
jednostki wyspecjalizowane w odzyskiwaniu danych, jed-
nocześnie nie mających gruntownej wiedzy oraz warszta-
tu pozwalającego na skuteczne wykonanie takiej usługi.
I tak, np. światowy średni poziom skuteczności odzyski-
wania danych wynosi ok. 76% na 100 zgłoszonych przy-
padków (źródło: Wikipedia). Jest to spowodowane tym, iż
sytuacje takie jak nadpisanie utraconych danych, bądź fi-
zyczne uszkodzenie powierzchni roboczej nośników nie
należą do wyjątków. Niestety, coraz częściej można spo-
tkać reklamy, które delikatnie mówiąc … naciągają rzeczy-
wistość. Coraz więcej firm ogłasza się jako ta najlepsza,
przelicytowując się w skuteczności: 95% czy nawet 99%!
Mało tego: na rynku pojawiają się reklamy sugerujące bli-
sko 100% skuteczność (!) w odzyskiwaniu danych czy też
mówiące o gwarancji na odzyskanie danych. Jest to oma-
mianie zdesperowanego klienta i świadome wprowadza-
nie go w błąd (powinien się temu przyjrzeć UOKIK). Nie
ma bowiem na świecie firmy potrafiącej odzyskiwać dane
z każdego przypadku ich utraty. Często działania te mają
na celu tylko złapanie klienta w celu wyciągnięcia od niego
pieniędzy za usługę sprawdzenia, bądź analizy czy się da
dane odzyskać, a na końcu stwierdzenia Niestety nie uda-
ło się, ale się napracowałem, więc kliencie zapłać!.
Jeszcze większą patologią jest funkcjonowanie tzw. bez-
płatnej analizy, która jest warunkowa. Z grubsza rzecz bio-
rąc, polega to na tym, że coraz więcej firm oferuje bezpłat-
ną analizę nośnika pod warunkiem, że po jej przeprowa-
dzeniu klient skorzysta w danej firmie z usługi odzyskania
danych. W przypadku rezygnacji, klient musi pokryć koszty
przeprowadzonej analizy oraz inne ukryte opłaty – w przy-
padku dysków twardych mogą to być kwoty do kilkuset zło-
tych. I nie byłoby w tym nic złego, gdyby nie fakt, że taka
praktyka przyczyniła się do rozpowszechnienia się pewne-
go procederu, a mianowicie: coraz częściej nieuczciwe fir-
my po wykonaniu analizy decydują się na stosowanie cen
zaporowych, np. 12 tysięcy złotych za odzyskanie danych
z jednego dysku. Jak łatwo przewidzieć – w efekcie klient
rezygnuje i z tego tytułu niestety musi zapłacić za wykona-
ną analizę. Mało tego – niektóre firmy dodatkowo żądają
także opłaty za wydanie dysku (nośnika) – ponieważ wy-
konały dodatkową pracę wykraczającą poza standardo-
wą analizę wstępną… W tej sytuacji właściciel sprzętu ma
związane ręce, ponieważ wcześniej, w momencie przyję-
cia dysku do analizy podpisał stosowne zobowiązanie bez
dokładnego zapoznania się z nim. Faktycznie – przy takich
praktykach teoretyczna skuteczność może osiągać pra-
wie 100% i jeszcze gwarantuje przypływ gotówki w każ-
dym możliwym przypadku. Prowadząc taką firmę, równie
dobrze można by nic nie robić – oprócz wystawiania fak-
tur. Wystarczy mieć dobry PR, profesjonalnie wyglądającą
stronę WWW czy reprezentacyjną siedzibę.
Dlatego pamiętajmy – przed wyborem firmy odzyskują-
cej dane powinniśmy gruntownie przeanalizować jej rze-
telność. Ufajmy tylko sprawdzonym firmom, mogącym się
pochwalić wieloletnią praktyką poświadczoną certyfikata-
7/2010
 Budowa i żywotność HDD
mi i nagrodami (takimi jak medale, nagrody konsumenc-
kie, poświadczenia dla rzetelnych firm). Także przed od-
daniem (lub wysłaniem) nośnika należy zapoznać się
z warunkami, które będziemy musieli pisemnie zaakcep-
tować (dokładnie czytajmy druki zamówień i regulaminy).
Uwaga
Zarówno autor, jak i redakcja, nie ponoszą żadnej odpowie-
dzialności za jakiekolwiek szkody i straty powstałe w wyniku
stosowanie się do wskazówek w niniejszym artykule. W mo-
mencie utraty dostępu do danych nie zaleca się samodziel-
nego wykonywania jakichkolwiek działań, w wyniku których
może dojść do zagrożenia zdrowia bądź życia lub wystąpie-
nia znacznych strat.
Reklama
www.hakin9.org
W trakcie rozmowy wstępnej sprawdźmy, czy bezpłatna
analiza jest faktycznie bezwarunkowa oraz domagajmy
się podania widełek cenowych (chodzi o cenę maksymal-
ną!) za konkretny rodzaj potencjalnego możliwego uszko-
dzenia, tak aby uniknąć przykrych niespodzianek.
ARTUR SKROUBA
Autor studiował na wydziale Fizyki i Astronomii Uniwersytetu
Warszawskiego; jest także absolwentem Szkoły Głównej Han-
dlowej w Warszawie na kierunku Finanse i Bankowość. Na co
dzień zajmuje się profesjonalnym odzyskiwaniem danych w �r-
mie DataMax Recovery, w której pełni funkcję jednego z inży-
nierów technicznych. Jest także jej założycielem Firma Data-
Max Recovery Kontakt z autorem: artur.skrouba@data-max.pl.
13
 OBRONA
Generator Pakietów Scapy
Michał Sajdak
Czy istnieje łatwy sposób na wygenerowanie niemal
dowolnych pakietów? Czy można bez większych trudności
zmodyfikować przechwycony pakiet i wysłać go ponownie?
Czy nieskomplikowanym zadaniem jest przygotowanie
fuzzera protokołu sieciowego?
Dowiesz się:
• jak posługiwać się oprogramowaniem scapy,
• jak generować (niemal) dowolny ruch sieciowy,
• jak wykonać fuzzing protokołu sieciowego.
N
a wszystkie powyższe pytania możemy odpo-
wiedzieć: tak – mając do dyspozycji darmowe
oprogramowanie scapy. Jedną możliwości ofe-
rowanych przez to narzędzie jest generowanie pakie-
tów – przy czym, w odróżnieniu od innych znanych ge-
neratorów pakietów (takich jak: sendip, nemesis, netdu-
de, czy hping), scapy:
• posiada bardzo dużą bazę obsługiwanych protoko-
łów,
• jest prosty i szybki w obsłudze,
• zapewnia użytkownikowi wysoką elastyczność pod-
czas korzystania z oferowanej przez siebie funkcjo-
nalności,
• jest aktywnie rozwijany,
• oferuje bardzo szerokie możliwości skryptowania,
• zapewnia relatywnie proste możliwości implemen-
tacji obsługi zupełnie nowego rodzaju pakietów
i protokołów (wymagana jest przy tym jednak zna-
jomość języka python).
Sam autor narzędzia twierdzi, że jest ono w stanie
zastąpić takie aplikacje jak: hping, 85% funkcjonal-
ności nmap-a, arpspoof, arp-sk, arping, tcpdump, te-
thereal czy p0f. Nie będziemy polemizować z tym
twierdzeniem – zaprezentujemy za to praktyczne
przykłady wykorzystania scapy, niech one same bę-
dą komentarzem do możliwości tego oprogramowa-
nia.
14
Powinieneś wiedzieć:
• powinieneś znać podstawowe protokoły wykorzystywane
w sieci Internet,
• powinieneś znać dowolny język programowania.
ls() – wyświetlenie obsługiwanych pakietów
Scapy w wersji 2.1.0 obsługuje przeszło 300 rodza-
jów pakietów, przy czym pakiet rozumiemy tutaj bardzo
ogólnie – jako pewien odpowiednio sformatowany zbiór
danych, który może być przesyłany przez sieć (stosow-
ne formatowanie określa odpowiedni protokół siecio-
wy). Na Listingu 1 prezentujemy niewielki fragment li-
sty pakietów zaimplementowanych w scapy, przy czym
dostępne są dodatkowe pluginy uzupełniające tę listę
(przykład – protokół OSPF).
ls() – wyświetlenie szczegółów budowy
pakietu
Przed utworzeniem pakietu w scapy warto zapoznać
się z jego strukturą (Listing 2).
W pierwszej kolumnie podawana jest nazwa każdego
pola, w drugiej jego typ, a w trzeciej – wartość domyśl-
na przy tworzeniu nowego pakietu.
Tworzenie nowego pakietu
W scapy jest to prosta operacja:
>>> p = ICMP()
Wyświetlenie szczegółów pakietu
W przykładzie z Listingu 3 jako domyślny typ ICMP został
ustawiony echo-request (znany z popularnego ping-a).
Jeśli przy budowie pakietu chcielibyśmy podać inny typ,
możemy zrobić to w sposób przedstawiony na Listingu 4.
7/2010
 Scapy
W przykładzie na Listingu 4 skorzystaliśmy z poda-
nia typu bezpośrednio lub za pośrednictwem mnemoni-
ka. Mnemoniki dla pól typu enum możemy wyświetlić za
pomocą składni: pakiet.nazwa_pola.i2s
Łączenie pakietów
Jak wiemy, pełen prawidłowy pakiet ICMP, składa się
z kilku warstw: ramka (na potrzebny artykułu nazywamy
ją pakietem) warstwy drugiej modelu OSI, pakiet IP oraz
pakiet ICMP. Złóżmy dwa pakiety – IP oraz wcześniej
stworzony ICMP (Listing 4, Listing 5). Ramka etherne-
towa zostanie dodana później – już przez scapy.
Zauważmy, że wszystkie pola zostały wypełnione
zgodnie z wartościami domyślnymi (polecenie ls(typ_
pakietu)) – a dodatkowo pole IP.proto zostało wypełnio-
ne poprawnie – tj. pakiet protokołu IP w powyższym pa-
kiecie transportuje pakiet protokółu ICMP. Zwróćmy rów-
nież uwagę na pola chksum – przyjęły one wartość None.
W tym przypadku oznacza to, że sumy kontrolne zosta-
ną wyliczone na podstawie tego jak zbudujemy pakiet –
a wykona to za nas scapy. Aktualną sumę kontrolną moż-
na zobaczyć wykorzystując metodę show2 (Listing 6).
Przy okazji wspomnijmy, że dostępne w danej kla-
sie zmienne i metody możemy uzyskać poleceniem dir
(wynik tego polecania, widoczny na Listingu 7, został
skrócony w celu ułatwienia prezentacji wyników).
Z kolei pomoc dotyczącą interesującej nas metody
możemy uzyskać poleceniem help() – Listing 8.
Modyfikacja zawartości pakietu
Aby zmodyfikować pole w interesującej nas warstwie,
stosujemy notację: pakiet[warstwa].pole = wartość.
Na przykład:
p1[IP].dst = '192.168.0.1'
Wysłanie pakietu oraz odebranie odpowiedzi
Istnieje kilka funkcji wysyłających oraz odbierających
pakiety – można je poznać wydając polecenie lsc()
oraz help(nazwa_funkcji). W przykładzie poniżej wy-
korzystamy funkcję sr1(), która wysyła pakiety w war-
stwie 3 modelu OSI (tj. ramka warstwy drugiej zostanie
za nas uzupełniona) oraz odbiera pierwszy pakiet odpo-
wiedzi (Listing 9).
Zauważmy, że nie musieliśmy uzupełniać pakietu
o ramkę ethernetową, tę pracę wykonała za nas funk-
cja sr1(). Jeśli chcielibyśmy jednak kontrolować dane
również w warstwie 2, musielibyśmy skorzystać z funk-
cji srp1() oraz uzupełnić pakiet o ramkę Ethernet. Przy
założeniu, że w zmiennej i zdefiniowany mamy pakiet
IP()/ICMP(), dołożenie ramki ethernetowej wygląda tak
jak na Listingu 10.
Dla dalszego zobrazowania możliwości oferowanych
przez scapy, prezentujemy wynik wspomnianego wyżej
polecenia lsc() – widoczny na Listingu 11.
www.hakin9.org
Wygenerowanie grupy pakietów
Spróbujmy tym razem wygenerować nie jeden pakiet
– a całą ich grupę, mianowicie 19 pakietów ICMP o polu
type, przyjmującym wartości od 0 do 18 (pozostałe po-
la przyjmą wartości domyślne ustalone w scapy). Tym
razem skorzystamy z funkcji sr() (jej nazwa to skrót
od send-receive), wysyłającej w warstwie 3. Funkcja
ta zwraca dwie wartości: pakiety z wysyłanego zbioru,
które doczekały się odpowiedzi oraz te, na które odpo-
wiedź nie przyszła – patrz Listing 12.
Proste skanowanie portów
Wykorzystując wiedzę z powyższego przykładu, wy-
konajmy prosty skaner portów (Listing 13). W naszym
przypadku będzie to wysłanie 4 pakietów TCP z usta-
wioną flagą Syn, na cztery różne porty.
W pętli powyżej przeglądamy całą zwróconą tabli-
cę o nazwie a. Każdy element tej tablicy posiada dwa
kolejne elementy – pakiet wysłany oraz otrzymana na
niego odpowiedź (w pętli odpowiadają tym elementom
zmienne req oraz resp). Jeśli odpowiedź jest pakietem
TCP z flagą SA, oznacza to że badany port jest otwarty
(otrzymaliśmy segment TCP z flagami SA w odpowiedzi
na segment z flagą S).
Podsłuchiwanie ruchu oraz modyfikacja
komunikacji sieciowej
Aby podsłuchać ruch, możemy skorzystać z wbudowa-
nej w scapy funkcji sniff(), możemy również wczytać
zbiór pakietów w formacie libpcap – funkcja rdpcap().
Na Listingu 14 zauważmy, że przechwycony przez
nas pakiet IP zawiera początkowo poprawną sumę kon-
trolną, jednak po zmianie docelowego adresu IP, suma
kontrolna będzie błędna! Dlatego, aby wysłać pakiet
bez błędów, poprosiliśmy scapy o automatyczne wyge-
nerowanie prawidłowej sumy za nas, podstawiając jej
wartość na pustą:
i[IP].chksum=None
Odczytanie podsłuchanych pakietów ze zrzutu w for-
macie libpcap jest równie proste (Listing 15.)
Przy okazji warto również wspomnieć o funkcji
wrpcap() – zapisującej pakiety w formacie libpcap. Ta-
ka możliwość może okazać się przydatna, jeśli chcie-
libyśmy wybrane pakiety poddać obróbce lub analizie
w innym, zewnętrznym narzędziu. Dalej (Listing 16)
prezentujemy przykład sfragmentowania komunikacji
IP, z wykorzystaniem narzędzia tcprewrite, które po-
siada wkompilowaną obsługę mechanizmu fragroute.
Fuzzing protokołów sieciowych
W skrócie, fuzzing protokołów sieciowych, polega na
wygenerowaniu pakietów niekoniecznie zgodnych ze
specyfikacją protokołu oraz sprawdzeniu w jaki sposób
15
 OBRONA

na taką komunikację zareaguje docelowy system. Przy- Listing 1. Typy pakietów dostępne w scapy
kładowo, niepoprawnym pakietem może być pakiet IP
z ustaloną nietypową wartością w polu IP.version. Czę- securitum-t1:~# scapy
sto w ten sposób wykryta może być błędna obsługa da- Welcome to Scapy (2.1.0)
nego pakietu przez docelowy system, co niekiedy koń- >>> ls()
czy się jego kompromitacją (patrz np. pracę Wifi Advan-
ced Fuzzing @ Blackhat EU 07, pokazującą podatno- ARP : ARP
ści umożliwiające wykonanie wrogiego kodu na bez- ASN1_Packet : None
przewodowym punkcie dostępowym z uprawnieniami BOOTP : BOOTP
jądra systemu operacyjnego – potencjalnie nawet bez CookedLinux : cooked linux
konieczności uwierzytelnienia się w urządzeniu access DHCP : DHCP options
point!). Najprostsza postać realizacji fuzzingu w scapy DHCP6 : DHCPv6 Generic Message)
wygląda tak jak na Listingu 17. ...
Odpowiadający takiej komunikacji, zrzut wykonany DNS : DNS
przy pomocy tcpdump-a wygląda z kolei tak jak na Li- DNSQR : DNS Question Record
stingu 18. DNSRR : DNS Resource Record
Analogicznie do przykładu pokazanego na Listingu DUID_EN : DUID - Assigned by Vendor Based on
18, istnieje możliwość ręcznego podstawienia danego Enterprise Number
pola, nie wartością, a funkcją, zwracającą wartość loso- Dot11 : 802.11
wą (Listing 19). Dot11ATIM : 802.11 ATIM
Dot11AssoReq : 802.11 Association Request
Prosty program w pythonie Dot11AssoResp : 802.11 Association Response
Jako ilustrację do możliwości skryptowania z wykorzy- ...
staniem scapy, przedstawiamy szkic bardzo prostego Dot1Q : 802.1Q
skanera portów napisanego w pythonie. Komentarzem Dot3 : 802.3
do skryptu niech będzie sam kod źródłowy, jak na Li- EAP : EAP
stingu 20. EAPOL : EAPOL
Ether : Ethernet
Podsumowanie GPRS : GPRSdummy
Dociekliwych Czytelników zachęcamy do własnego GRE : GRE
eksperymentowania z oprogramowaniem scapy. Mamy ...
nadzieję, że pokazaliśmy moc tego narzędzia, którego IP : IP
rozmaite zastosowania są ograniczone niemal tylko po- IPOption : None
mysłowością użytkownika. IPOption_Address_Extension : IP Option Address
Extension
...
W Sieci
PPP : PPP Link Layer
• http://www.secdev.org/projects/scapy/, PPP_ECP : None
• http://www.dirk-loss.de/scapy-doc/, PPP_ECP_Option : PPP ECP Option
• http://trac.secdev.org/scapy/wiki/OSPF, PPP_ECP_Option_OUI : PPP ECP Option
• http://freshmeat.net/projects/sendip/,
...
• http://nemesis.sourceforge.net/,
• http://netdude.sourceforge.net/, RIP : RIP header
• http://www.hping.org/, RIPEntry : RIP entry
• http://www.blackhat.com/presentations/bh-europe-07/ RTP : RTP
Butti/Presentation/bh-eu-07-Butti.pdf. RadioTap : RadioTap dummy
Radius : Radius
Raw : Raw
MICHAŁ SAJDAK RouterAlert : Router Alert
Dyrektor ds. Rozwoju w �rmie Securi- STP : Spanning Tree Protocol
tum. Prowadzi szkolenia o tematyce SebekHead : Sebek header
związanej z bezpieczeństwem IT oraz TCP : TCP
realizuje testy penetracyjne systemów TCPerror : TCP in ICMP
IT. Posiadacz certy�katu CISSP. TFTP : TFTP opcode
Kontakt z autorem: ...
michal.sajdak@securitum.pl

16 7/2010
 Scapy

Listing 2. Struktura pakietu w scapy Listing 5. Łączenie pakietów

>>> ls(ICMP) >>> p1 = IP()/p

type : ByteEnumField = (8) >>> p1.show()
code : MultiEnumField = (0) ###[ IP ]###
chksum : XShortField = (None) version= 4
id : ConditionalField = (0) ihl= None
seq : ConditionalField = (0) tos= 0x0
ts_ori : ConditionalField = (50705671) len= None
ts_rx : ConditionalField = (50705671) id= 1
ts_tx : ConditionalField = (50705671) flags=
gw : ConditionalField = ('0.0.0.0') frag= 0
ptr : ConditionalField = (0) ttl= 64
reserved : ConditionalField = (0) proto= icmp
addr_mask : ConditionalField = ('0.0.0.0') chksum= None
unused : ConditionalField = (0) src= 127.0.0.1
dst= 127.0.0.1
\options\
###[ ICMP ]###
Listing 3. Wyświetlenie zawartości pakietu
type= echo-request
>>> p.show() code= 0
###[ ICMP ]### chksum= None
type= echo-request id= 0x0
code= 0 seq= 0x0
chksum= None
id= 0x0
seq= 0x0
Listing 6. Wynik metody show2()

>>> i.show2()
###[ IP ]###
Listing 4. Stworzenie pakietu ICMP
version= 4L
>>> p = ICMP(type=0) ...
>>> ICMP.type.i2s chksum= 0x7cde
{0: 'echo-reply', 3: 'dest-unreach', 4: 'source- ...
quench', \options\
5: 'redirect', 8: 'echo-request', 9: 'router- ###[ ICMP ]###
advertisement', ...
10: 'router-solicitation', 11: 'time-exceeded', chksum= 0xf7ff
12: 'parameter-problem', 13: 'timestamp-request', >>>
14: 'timestamp-reply', 15: 'information-request',
16: 'information-response', 17: 'address-mask-
request',
Listing 7. Wyświetlenie zmiennych i metod dostępnych w
18: 'address-mask-reply'} danej klasie
>>> p = ICMP(type='information-request')
>>> dir(p)
['__class__', '__contains__', '__delattr__', '__
delitem__', '__dict__', [...]
'add_payload', 'add_underlayer', 'aliastypes',
'answers', 'build', [...]
'show', 'show2', 'show_indent', 'sprintf',
'summary', 'time', [...]

www.hakin9.org 17
 OBRONA

Listing 8. Wyświetlenie pomocy dla wybranej metody

>>>
help(p.show2)
Help on method show2 in module scapy.packet:

show2(self) method of scapy.layers.inet.ICMP instance

Prints a hierarchical view of an assembled version of the packet,
so that automatic fields are calculated (checksums, etc.)

Listing 9. Podstawowa metoda wysłania pakietu oraz Listing 10. Podstawowa metoda wysłania pakietu oraz
odebrania odpowiedzi – sr1() odebrania odpowiedzi - srp1()

>>> r = sr1(p1) >>> i2 = Ether(dst='00:19:5b:dc:b7:ec')/i

Begin emission: >>> i2.show()
Finished to send 1 packets. ###[ Ethernet ]###
.* dst= 00:19:5b:dc:b7:ec
Received 2 packets, got 1 answers, remaining 0 src= 00:0c:29:7f:48:3f
packets type= 0x800
###[ IP ]###
>>> r.show() version= 4
###[ IP ]### ihl= None
version= 4L tos= 0x0
ihl= 5L len= None
tos= 0x0 id= 1
len= 28 flags=
id= 30733 frag= 0
flags= ttl= 64
frag= 0L proto= icmp
ttl= 64 chksum= None
proto= icmp src= 192.168.0.124
chksum= 0x8106 dst= 192.168.0.1
src= 192.168.0.1 \options\
dst= 192.168.0.124 ###[ ICMP ]###
\options\ type= echo-request
###[ ICMP ]### code= 0
type= echo-reply chksum= None
code= 0 id= 0x0
chksum= 0xffff seq= 0x0
id= 0x0 >>> r2 = srp1(i2)
seq= 0x0 Begin emission:
###[ Padding ]### Finished to send 1 packets.
load= '\x00\x00\x00\x00\x00\x00\x00\x00\x00\ *
x00\x00\x00\x00\x00\x00\x00\x00\ Received 1 packets, got 1 answers, remaining 0
x00' packets

18 7/2010
 Scapy

Listing 11. Wynik polecenia lsc()

arpcachepoison: Poison target's cache with (your MAC,victim's IP) couple

arping : Send ARP who-has requests to determine which hosts are up
defrag : defrag(plist) -> ([not fragmented], [defragmented],
defragment : defrag(plist) -> plist defragmented as much as possible
dyndns_del : Send a DNS delete message to a nameserver for "name"
etherleak : Exploit Etherleak flaw
fragment : Fragment a big IP datagram
fuzz : Transform a layer into a fuzzy layer by replacing some
default values by random objects
getmacbyip : Return MAC address corresponding to a given IP address
hexdiff : Show differences between 2 binary strings
ls : List available layers, or infos on a given layer
rdpcap : Read a pcap file and return a packet list
send : Send packets at layer 3
sendp : Send packets at layer 2
sendpfast : Send packets at layer 2 using tcpreplay for performance
sniff : Sniff packets
split_layers : Split 2 layers previously bound
sr : Send and receive packets at layer 3
sr1 : Send packets at layer 3 and return only the first answer
srflood : Flood and receive packets at layer 3
srloop : Send a packet at layer 3 in loop and print
the answer each time
srp : Send and receive packets at layer 2
srp1 : Send and receive packets at layer 2 and return only
the first answer
srpflood : Flood and receive packets at layer 2
srploop : Send a packet at layer 2 in loop and print the answer
each time
traceroute : Instant TCP traceroute
tshark : Sniff packets and print them calling pkt.show(),
a bit like text wireshark
wireshark : Run wireshark on a list of packets
wrpcap : Write a list of packets to a pcap file

Listing 12. Generowanie grupy pakietów

>>> pi = IP(dst='192.168.0.1')/ICMP(type=(0,18))
>>> answered,uanswered = sr(pi)
Begin emission:
...*.Finished to send 19 packets.
.......^C
Received 12 packets, got 1 answers, remaining 18 packets
>>> answered.show()
0000 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-request 0
==> IP / ICMP 192.168.0.1 > 192.168.0.124 echo-reply 0 / Padding
>>> uanswered.show()
0000 IP / ICMP 192.168.0.124 > 192.168.0.1 dest-unreach network-unreachable
0001 IP / ICMP 192.168.0.124 > 192.168.0.1 source-quench 0
0002 IP / ICMP 192.168.0.124 > 192.168.0.1 redirect network-redirect
0003 IP / ICMP 192.168.0.124 > 192.168.0.1 time-exceeded ttl-zero-during-transit
0004 IP / ICMP 192.168.0.124 > 192.168.0.1 parameter-problem ip-header-bad
0005 IP / ICMP 192.168.0.124 > 192.168.0.1 1 0

www.hakin9.org 19
 OBRONA

0006 IP / ICMP 192.168.0.124 > 192.168.0.1 2 0

0007 IP / ICMP 192.168.0.124 > 192.168.0.1 6 0
0008 IP / ICMP 192.168.0.124 > 192.168.0.1 7 0
0009 IP / ICMP 192.168.0.124 > 192.168.0.1 router-advertisement 0
0010 IP / ICMP 192.168.0.124 > 192.168.0.1 router-solicitation 0
0011 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-reply 0
0012 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-request 0
0013 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-reply 0
0014 IP / ICMP 192.168.0.124 > 192.168.0.1 information-request 0
0015 IP / ICMP 192.168.0.124 > 192.168.0.1 information-response 0
0016 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-request 0
0017 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-reply 0

Listing 13. Proste skanowanie portów

>>> packets = IP(dst='192.168.0.1')/TCP(flags='S',dport=[22,23,80,515])
>>> a,ua=sr(packets)
Begin emission:
**..Finished to send 4 packets.
*.*
Received 7 packets, got 4 answers, remaining 0 packets
>>> a.show()
0000 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:ssh S
==> IP / TCP 192.168.0.1:ssh > 192.168.0.124:ftp_data RA / Padding
0001 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:telnet S
==> IP / TCP 192.168.0.1:telnet > 192.168.0.124:ftp_data RA / Padding
0002 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:www S
==> IP / TCP 192.168.0.1:www > 192.168.0.124:ftp_data SA / Padding
0003 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:printer S
==> IP / TCP 192.168.0.1:printer > 192.168.0.124:ftp_data SA / Padding

>>> for req,resp in a:

... print "port = "+str(req.dport)
... resp.sprintf('%TCP.flags%')
...
port = 22
'RA'
port = 23
'RA'
port = 80
'SA'
port = 515
'SA'

Listing 14. Podsłuchiwanie ruchu oraz mody�kacja komunikacji sieciowej

>>> res = sniff()
^C>>> res.show()
0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0001 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A
0002 Ether / ARP who has 192.168.0.1 says 192.168.0.124
0003 Ether / ARP is at 00:19:5b:dc:b7:ec says 192.168.0.1 / Padding
0004 Ether / IP / UDP / DNS Qry "www.onet.pl."
0005 Ether / IP / UDP / DNS Ans "213.180.146.27"
0006 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw

20 7/2010
 Scapy

0007 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw

0008 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0009 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0010 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0011 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0012 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0013 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0014 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0015 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0016 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0017 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
>>> i = res[6]
>>> i.show()
###[ Ethernet ]###
dst= 00:19:5b:dc:b7:ec
src= 00:0c:29:7f:48:3f
type= 0x800
###[ IP ]###
version= 4L
ihl= 5L
tos= 0x0
len= 84
id= 0
flags= DF
frag= 0L
ttl= 64
proto= icmp
chksum= 0x11b5
src= 192.168.0.124
dst= 213.180.146.27
\options\
###[ ICMP ]###
type= echo-request
code= 0
chksum= 0x1dbc
id= 0xa30d
seq= 0x1
###[ Raw ]###
load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\
x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'
>>> i[IP].dst='87.98.189.148'
>>> i[IP].chksum=None
>>> r = srp1(i)
Begin emission:
Finished to send 1 packets.
.*
Received 2 packets, got 1 answers, remaining 0 packets
>>> r.show()
###[ Ethernet ]###
dst= 00:0c:29:7f:48:3f
src= 00:19:5b:dc:b7:ec
type= 0x800
###[ IP ]###
version= 4L

www.hakin9.org 21
 OBRONA

ihl= 5L
tos= 0x0
len= 84
id= 40889
flags=
frag= 0L
ttl= 0
proto= icmp
chksum= 0x44d5
src= 87.98.189.148
dst= 192.168.0.124
\options\
###[ ICMP ]###
type= echo-reply
code= 0
chksum= 0x25bc
id= 0xa30d
seq= 0x1
###[ Raw ]###
load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\
x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'

Listing 15. Odczytanie ruchu z pliki w formacie libpcap

securitum-t1:~# tcpdump -n -s 0 -i eth0 -U -w out.pcap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C20 packets captured
21 packets received by filter

securitum-t1:~# scapy
Welcome to Scapy (2.1.0)
>>> packets = rdpcap('out.pcap')
>>> packets.show()
0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0001 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0002 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A / Padding
0003 Ether / IP / UDP / DNS Qry "www.onet.pl."
0004 Ether / IP / UDP / DNS Ans "213.180.146.27"
0005 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0006 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0007 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0008 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0009 Ether / ARP who has 192.168.0.124 says 192.168.0.107 / Padding
0010 Ether / ARP is at 00:0c:29:7f:48:3f says 192.168.0.124
0011 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0012 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0013 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0014 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0015 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0016 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0017 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0018 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0019 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh PA / Raw

22 7/2010
 Scapy

Listing 16. Wykorzystanie funkcji wrpcap()

>>> pkt = Ether()/IP(dst='192.168.0.1')/ICMP()/("X"*100)

>>> wrpcap('to_fragment.pcap', pkt)

securitum-t2:~# tcprewrite --infile=to_fragment.pcap

--outfile=fragmented.pcap --fragroute=/usr/local/etc/fragroute.conf
192.168.0.104 > 192.168.0.1: icmp: type 8 code 0 (frag 1:24@0+)
192.168.0.104 > 192.168.0.1: (frag 1:24@24+)
192.168.0.104 > 192.168.0.1: (frag 1:24@48+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:12@96) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@72+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@72+)
192.168.0.104 > 192.168.0.1: icmp: type 65 code 71 (frag 1:24@0+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:12@96)
192.168.0.104 > 192.168.0.1: (frag 1:24@24+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@48+)
securitum-t2:~# scapy
>>> f = rdpcap('fragmented.pcap')
>>> f.show()
0000 Ether / IP / ICMP 192.168.0.104 > 192.168.0.1 echo-request 0 / Raw
0001 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw
0002 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:6 / Raw
0003 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:12 / Raw
0004 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:9 / Raw
0005 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:9 / Raw
0006 Ether / IP / ICMP 192.168.0.104 > 192.168.0.1 65 71 / Raw
0007 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:12 / Raw
0008 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw
0009 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:6 / Raw

Listing 17. Podstawowa metoda fuzzingu protokołu sieciowego

>>> p = IP(dst='192.168.0.1')/ICMP()
>>> p = fuzz(p)
>>> p.show()
###[ IP ]###
version= <RandNum>
ihl= None
tos= 31
len= None
id= <RandShort>
flags=
frag= 0
ttl= <RandByte>
proto= icmp
chksum= None
src= 192.168.0.124
dst= 192.168.0.1
\options\
###[ ICMP ]###
type= <RandByte>
code= 207
chksum= None
unused= <RandInt>

www.hakin9.org 23
 OBRONA

>>> send(p,loop=1)
................................................................................................................

Listing 18. Fuzzing protokołu sieciowego widziany w tcpdump()

securitum-t1:~# tcpdump -v -n -i eth0 icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

18:37:00.152656 IP7 (tos 0x8b,CE, ttl 63, id 19269, offset 0, flags [+, rsvd], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#170, length 8
IP5 [|ip]
18:37:00.156424 IP14 (tos 0x99,ECT(1), ttl 128, id 46969, offset 0, flags [+, DF, rsvd], proto ICMP (1), length
28) 192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
18:37:00.159799 IP9 (tos 0x7a,ECT(0), ttl 114, id 53503, offset 0, flags [DF], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#105, length 8
IP5 [|ip]
18:37:00.163474 IP14 (tos 0x18, ttl 163, id 24203, offset 0, flags [+, rsvd], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#61, length 8
IP5 [|ip]
18:37:00.167175 IP5 (tos 0x1,ECT(1), ttl 13, id 59219, offset 0, flags [none], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
...

Listing 19. Ustawienie pola w pakiecie funkcją zwracającą Listing 20. Prosty skaner portów napisany w pythonie, z
wartość losową wykorzystaniem scapy. scapy-scanner.py (uruchomienie:
python scapy-scanner.py)
>>> i = IP()/ICMP()
>>> i[IP].version = RandShort() from scapy.all import *
>>> i.show()
###[ IP ]### # zakres portow do skanowania
version= <RandShort> ports = (1,1024)
ihl= None # cel skanowania
tos= 0x0 dst_ip = '192.168.0.1'
len= None
id= 1 # definicja pakietow
flags= syn_packets = IP(dst=dst_ip)/TCP(flags='S',dport=po
frag= 0 rts)
ttl= 64
proto= icmp # wyslanie pakietow oraz odebranie odpowiedzi
chksum= None answered, uanaswered = sr(syn_packets, verbose=0)
src= 127.0.0.1
dst= 127.0.0.1 # analiza odpowiedzi
\options\ for request, response in answered:
###[ ICMP ]### response_flags = response.sprintf('%TCP.flag
type= echo-request s%')
code= 0 if response_flags == 'SA':
chksum= None print "Port TCP: " +
id= 0x0 str(request.dport) + " otwarty"
seq= 0x0

24 7/2010
 Archiwizacja danych
Archiwizacja danych
Aleksander Tadeusz Ćwikliński
Niewielu użytkowników komputerów przywiązuje
należytą wagę do archiwizacji plików. Często giną im
bezpowrotnie bezcenne dokumenty lub zdjęcia,
a niewiele trzeba, by temu zapobiec.
Dowiesz się:
• o znaczeniu archiwizacji danych,
• o rodzajach archiwizacji,
• jak zorganizować proces archiwizacji,
• które narzędzia pomogą w zabezpieczeniu danych,
• jak użyć dostępnych narzędzi do zabezpieczenia danych.
A
rchiwizacja (backupy) danych dla większo-
ści użytkowników komputerów osobistych jest
często zagadnieniem pozostającym na margi-
nesie. Najczęściej przypominamy sobie o znaczeniu
zabezpieczenia danych, gdy je utracimy. Celem tego
artykułu jest próba przełamania barier oraz zachęce-
nie do wykonywania archiwizacji najważniejszych da-
nych. Może nadszedł już czas, aby zakupić dysk ze-
wnętrzny i przeznaczyć go do tego celu.
Statystyki
Serwis dotyczący archiwizacji http://www.kabooza.com
podaje wyniki ankiety wśród użytkowników kompute-
rów osobistych w zakresie archiwizacji.
Na pytanie jak często archiwizują oni dane na kom-
puterach większość (54%) odpowiada, że nigdy. Spo-
śród archiwizujących dane 18% robi to codziennie. Aż
13% osób nie wie co to jest backup.
Użytkownicy za największe zagrożenie dla kompute-
ra wskazują wirusy komputerowe (54%). Kolejne oba-
wy dotyczą możliwości uszkodzenia dysku twardego
(31%), kradzieży (5%) oraz uszkodzenia danych spo-
wodowanych upadkiem nośnika danych (11%).
Najbardziej użytkownicy obawiają się utraty wła-
snych zdjęć (71%), własnych dokumentów (16%) oraz
własnej muzyki (4%).
Większość (66%) osób utraciło ważne zdjęcia lub
dokumenty, z czego duża część (42%) utraciła je
w ciągu ostatniego roku.
www.hakin9.org
Powinieneś wiedzieć:
• znajomość obsługi komputera na poziomie użytkownika.
Rodzaje backupów
Mamy do wyboru różne rodzaje backupów i trybów ich
uruchamiania. Wybór zależy między innymi od ilości
wolnego miejsca na dysku, czasu jaki możemy prze-
znaczyć na archiwizowanie oraz wymaganej szybko-
ści do odzyskania danych. W Tabeli 1. wymienione zo-
stały rodzaje backupów, a w Tabeli 2. przedstawione
są różnice pomiędzy nimi.
Kompromis
Przy podejmowaniu decyzji o organizacji procesu ar-
chiwizacji warto wziąć pod uwagę kilka czynników. Na-
leży więc:
• ocenić, które dane są krytyczne i wymagają ar-
chiwizacji (archiwizowanie wszystkiego może być
zbyt kosztowne),
• określić ich rozmiar,
• określić częstotliwość zmian w tych danych,
• sprawdzić posiadane rodzaje nośników do archi-
wizacji (serwer sieciowy, dysk, CD-ROM. DVD-
ROM, pamięć taśmowa),
• oszacować rozmiar wolnej przestrzeni na nośni-
kach przeznaczonych do organizacji backupów,
• określić akceptowany czas na tworzenie archi-
wum,
• określić akceptowalny czas oczekiwania na odtwo-
rzenie pliku z archiwum,
• zachować zdrowy rozsądek.
25
 OCHRONA DANYCH

Nie zawsze takie łatwe
W domowych zastosowaniach zdefiniowanie codzien-
nych backupów wydaje się wystarczające. W przy-
padku jednak, gdy mówimy o działalności gospodar-
czej i klientach utrata danych może nas sporo kosz-
tować.
Często występuje potrzeba budowania rozwiązań
umożliwiających odtworzenie danych z dowolnej chwi-
li (godzina, minuta, sekunda). Aby to było możliwe ko-
nieczne jest posiadanie rozwiązania zapewniającego
archiwizowanie danych w sposób ciągły. Wymaganie
zapewnienia ciągłości operacji może nakładać na nas
także konieczność niezwłocznego odzyskania danych
z archiwów.
W przypadku współdziałania wielu systemów infor-
matycznych krytyczne staje się jak najszybsze wykry-
cie sytuacji, gdy będzie konieczne odtworzenie pli-
ków z archiwum. Opóźnione działanie może spowodo-
wać utratę korelacji danych pomiędzy systemami. Je-
żeli systemy zapisują dane na tym samym wolumenie
to korzystne może okazać się oparcie backupów o ca-
ły wolumen niż o pojedyncze pliki.
Złożonym może okazać się wykonywanie backupów
baz danych, dla których należy zachować ciągłość
działania, bo nie można ich zamknąć, w celach archi-
wizacji. Pomocne są tutaj serwery baz danych dostar-
czające mechanizmy śledzenia transakcji wykonanych
od momentu wykonania ostatniego backupu.
Narzędzia
Dostępnych jest wiele narzędzi do wykonywania bac-
kupów – komercyjnych i darmowych.
W Tabeli 3. podano wykaz niektórych darmowych
rozwiązań dostępnych dla głównych trzech systemów

Tabela 1. Rodzaje archiwów

Nazwa
Pełny (full)
Różnicowy (differential)
Przyrostowy (incremental)
Opis
Polega na archiwizacji wszystkich plików niezależnie od wcześniej robionych archiwizacji. Po utwo-
rzeniu takiego archiwum istnieje później możliwość odtworzenia wszystkich plików bezpośrednio z
tego archiwum.
Jest uzupełnieniem pełnej archiwizacji. Zapisuje zmiany w plikach, które powstały od momentu wy-
konania ostatniej pełnej archiwizacji. Do odtworzenia pliku wystarczy pełne archiwum i jedno z ar-
chiwów różnicowych w zależności od daty, z której chcemy odzyskać dane.
Jest uzupełnieniem pełnej archiwizacji. Zapisuje zmiany w plikach, które powstały od momentu wy-
konania ostatniej przyrostowej archiwizacji. Do odtworzenia pliku potrzebne jest odwołanie do peł-
nego archiwum oraz tylu archiwów przyrostowych ile zostało utworzonych od daty, z której chcemy
odzyskać dane.

Tabela 2. Różnice między rodzajami archiwów

Nazwa Czas potrzebny Czas potrzebny Rozmiar na dysku

na archiwizację na odtworzenie archiwum
Pełny * *** *
Różnicowy ** ** **
Przyrostowy *** * ***
* - najmniej korzystny
*** - najbardziej korzystny

Tabela 3. Darmowe narzędzia do archiwizacji danych

Nazwa Link Opis

Amanda http://www.amanda.org/ Zaawansowany sieciowy archiwizator pozwalający na zdalną administrację.
Używa natywnych narzędzi jak GNUtar czy dump do tworzenia backupów.
Areca backup http://www.areca-backup.org/ Służy do wykonywania archiwów danych na potrzeby osobiste. Utworzone
zbiory można czytać popularnymi programami do kompresji.
backupPC http://backuppc.sourceforge.net/ Może służyć do archiwizacji danych przedsiębiorstwa.
Bacula http://www.bacula.org Umożliwia zarządzanie procesem archiwizacji na poziomie przedsiębior-
stwa dla różnych rodzajów komputerów połączonych w sieć.
DirSyncPro http://directorysync.sourceforge.net/ Proste narzędzie do synchronizacji folderów. Można uruchamiać polecenia
także z pominięciem interfejsu graficznego.
DAR http://dar.linux.free.fr/ Uruchamiany jest z linii komend. Od wersji 2 możliwe jest podłączenie inter-
fejsu graficznego poprzez API.

26 7/2010
 Archiwizacja danych
operacyjnych komputerów osobistych: Windows, Li-
nux oraz Macintosh.
Backup and Restore
Umożliwia archiwizację danych w Windows 7 (dostęp-
ne opcje zależą od wersji). Przykładowy proces defi-
niowania i uruchamiania archiwizacji wygląda nastę-
pująco.
Krok 1. Przejść do panelu sterowania – Control Panel.
Krok 2. W zależności od ustawionego trybu wyświetla-
nia w panelu sterowania wybierać Back up your compu-
ter w grupie System and Security lub Backup and Re-
store.
Krok 3. Otworzy się okno umożliwiające rozpoczęcie
definiowania procesu archiwizacji.
Krok 4. W kolejnych krokach określić parametry archi-
wizacji.
Rysunek 1. Ekran de�nicji archiwizacji
Rysunek 2. Parametry archiwizacji
www.hakin9.org
Krok 5. Po zapisaniu ustawień rozpocząć archiwizację.
Krok 6. Można także śledzić zaawansowanie procesu.
Po utworzeniu archiwum możliwe będzie w przyszło-
ści odzyskanie całego zbioru plików lub wybranych
plików po naciśnięciu przycisku Restore my files na
ekranie Backup or restore your files. W przypadku
konfliktu zostaniemy zapytani o decyzję i do wyboru
pozostanie zapisanie obecnego pliku wersją z archi-
wum, rezygnacja z wykonania operacji lub utworzenie
drugiej wersji pliku.
rsync
W przypadku, gdy serwer zasobów dyskowych zbudo-
wany jest na systemie Linux, na przykład na serwerze
Samby, do zabezpieczania danych bardzo przydat-
nym może się okazać polecenie rsync. Pomoże ona
przykład w utworzeniu pełnego odzwierciedlenia da-
Rysunek 3. Parametry archiwizacji
27
 OCHRONA DANYCH
nych wraz z informacjami o uprawnieniach użytkowni-
ków i atrybutach plików. Wystarczy sprawdzić składnię
tego polecenia w manualu systemowym i można przy-
stąpić do synchronizowania zbiorów danych. Polece-
nie to umożliwia także synchronizację pomiędzy ser-
werami sieciowymi.
Poniżej opisano przykładową sekwencję operacji.
Krok 1. Podłączyć dysk zewnętrzny.
Krok 2. Zamontować dysk zewnętrzny:
mount –t reiserfs /dev/sda1 /mnt/f
Krok 3.Rozpocząć synchronizację katalogów (tutaj ar-
chiwizacja dotyczy katalogu /home):
rsync – a –v –delete /home/ /mnt/f
xcopy
Polecenie xcopy znane z systemu Windows posiada
bardzo wiele opcji i umożliwia wykonywanie różnych
rodzajów backupów.
Rysunek 4. Parametry archiwizacji
Rysunek 5. Parametry archiwizacji
28
• Archiwizacja pełna:
xcopy c:\home\*.* d:\backup\*.* /s
• Archiwizacja przyrostowa:
xcopy c:\home\*.* d:\backup\*.* /s /m
• Archiwizacja różnicowa
xcopy c:\home\*.* d:\backup\*.* /s /a
Podsumowanie
Do wsparcia archiwizacji danych służy wiele narzę-
dzi. Zalecałbym spośród nich wybrać odpowiednie
dla siebie i zacząć je stosować. Warto na to poświę-
cić czas. Unikniemy poważnych kłopotów i staniemy
się faktycznymi właścicielami naszych danych. Bę-
dziemy również mogli służyć radą mniej doświadczo-
nym.
Rysunek 6. Parametry archiwizacji
Rysunek 7. Rozpoczęcie archiwizacji.
7/2010
 Archiwizacja danych

Rysunek 8. Śledzenie procesu

ALEKSANDER TADEUSZ ĆWIKLIŃSKI

http://www.linkedin.com/in/alexcwiklinski . Ukończył studia informatyczne na Wydziale Elektroniki Politechniki Warszaw-
skiej. Ponadto zdobył dyplom Canadian MBA w Szkole Głównej Handlowej w kooperacji z Université du Québec à Montréal.
Uzyskał między innymi certy�kat PMP z zakresu zarządzania projektami oraz certy�kat ITIL Foundation z zakresu zarządza-
nia usługami.
Posiada doświadczenie w rozwijaniu systemów informatycznych oraz kontroli jakości w obszarach obsługi klienta, rozliczeń bi-
lingowych, bankowości, podatków oraz �nansów. Zajmował się również zarządzaniem projektami i wydaniami w ramach ze-
społów międzynarodowych.
Od kilkunastu lat pracuje w �rmie telekomunikacyjnej na stanowisku menedżerskim. Do jego głównych obowiązków należy
kontrola jakości systemów informatycznych oraz wsparcie procesu wdrożeń. Wcześniej zaangażowany był bezpośrednio w roz-
wój tych systemów.
Interesuje się wsparciem informatycznym podejmowania decyzji w zarządzaniu �rmą. Ponadto śledzi zagadnienia związane
z marketingiem, a ostatnio w szczególności marketingiem przychodzącym (inbound marketing) oraz zastosowaniami portali
społecznościowych.
W pracy zawodowej, realizując zadania, stara się znajdować balans pomiędzy oczekiwaniami �rmy, a wymaganiami ze-
społów oraz indywidualnymi potrzebami pracowników. Zwraca przy tym uwagę na znaczenie komunikacji dla sukcesu tych
przedsięwzięć.
Poszukuje rozwiązań, które zwiększą ilość wolnego czasu. Odzyskany czas chciałby poświęcić na znajdowanie nowych pomy-
słów, ich dopracowywanie oraz wypoczynek.
W drodze do pracy słucha książek audio lub podcastów z zakresu zarządzania, marketingu, psychologii lub ekonomii.
Wolny czas spędza z rodziną, majsterkuje lub pracuje w ogrodzie.
Kibicuje zespołowi Renault w Formule 1, w szczególności naszemu kierowcy Robertowi Kubicy.
Kontakt z autorem: aleksander.cwiklinski@gmail.com

Reklama

www.hakin9.org 29
 PRAKTYKA
Elektroniczni detektywi w akcji
Piotr Dembiński, Paweł Odor
Wiedza i umiejętności informatyków śledczych, także z Polski,
pomogły już rozwiązać tysiące spraw sądowych na całym świecie,
w tym tych najpoważniejszych, związanych między innymi z głośnymi
przestępstwami gospodarczymi, pedofilią bądź kradzieżą poufnych
danych. Wciąż jednak działania prowadzone w ramach informatyki
śledczej są niemalże obce nie tylko firmom tracącym przychody przez
oszustów komputerowych, ale nawet samej branży IT.
Dowiesz się:
• jak wygląda proces informatyki śledczej prowadzony w profe-
sjonalnym laboratorium
• jakie najciekawsze przypadki informatyki śledczej zdarzyły się
dotąd w Polsce i na świecie
• jakie straty mogą ponieść firmy nie korzystające z usług infor-
matyków śledczych
W
edług danych gromadzonych globalnie przez
światowych pionierów w dziedzinie informaty-
ki śledczej, 43 procent firm na świecie padło
ofiarą nadużyć związanych z użyciem informacji elek-
tronicznej. Ponad połowa z nich poniosła przy tym nie-
odwracalne straty finansowe. Średnia wysokość nad-
użyć w zakresie przestępczości elektronicznej na świe-
cie to aż 1,74 mln $ na firmę, przy czym co trzecie z te-
go typu przestępstw popełnił pracownik firmy, która
ucierpiała na nielegalnych praktykach. Co sprawia, że
tak łatwo firmy i osoby prywatne tracą kluczowe dane?
Według informatyków śledczych kluczową rolę od-
grywa tutaj kwestia nieświadomego pozostawiania
przez nas informacji o samych sobie, dzięki otaczają-
cym nas z każdej strony technologiom i urządzeniom
gromadzącym wszelkiego rodzaju informacje. Można
podzielić je na trzy grupy. Do pierwszej z nich zaliczyć
można wszelkie rejestry komputerów i innych maszyn,
które magazynują dane dotyczące czasu pracy, otwie-
ranych programów, odwiedzanych stron internetowych
czy też wysłanych wiadomości mailowych. Do drugiej
grupy zaliczyć możemy informacje z różnego rodza-
ju monitoringów, aparatów cyfrowych czy też kamer.
Ostatnią, trzecią grupą są informacje, które użytkow-
nicy pozostawiają samodzielnie i świadomie, np. na
30
Powinieneś wiedzieć:
• że działania informatyków śledczych pozwalają uchronić firmy
przed bardzo poważnymi konsekwencjami finansowymi i wi-
zerunkowymi, sięgającymi nawet kilku milionów dolarów
• że informatycy śledczy są w stanie perfekcyjnie odtworzyć kolej-
ność zdarzeń, działając na podstawie informacji niedostępnych
dla użytkowników i administratorów poszczególnych systemów
• że większość polskich i światowych firm wciąż lekceważy za-
bezpieczanie swych zasobów cyfrowych.###
portalach społecznościowych, forach, blogach czy też
w komentarzach sieciowych.
Informatycy śledczy w Polsce i na świecie
W ciągu ostatnich kilkunastu lat dyski twarde (i inne
nośniki, takie jak pendrive’y czy telefony komórkowe),
stały się pierwszoplanowymi bohaterami spraw, które
przez tygodnie nie schodziły z pierwszych stron ga-
zet. Dotyczyły one zarówno najważniejszych polityków
w Państwie, jak i osób związanych ze środowiskami
biznesowymi. Wśród pierwszych, jedną z najbardziej
spektakularnych okazała się sprawa dysku Aleksandry
Jakubowskiej, która wyszła na światło dzienne w kon-
tekście afery Rywina. Jednym z kluczowych dla śledz-
twa działań było wtedy odzyskanie wiadomości pocz-
towej ze sformatowanego dysku Minister Jakubow-
skiej, na którym znajdowały się dowody pozwalające
prokuraturze na ustalenie przebiegu wydarzeń w jed-
nym z wątków afery korupcyjnej. Pozostałe przypadki,
jakie utkwiły w pamięci opinii publicznej dotyczyły m.in.
„utopionego” komputera posła Wassermanna czy słyn-
nego „gwoździa” posła Ziobry. Na świecie były to naj-
większe akcje przeprowadzane m.in. dla FBI i innych
służb panstwowych. Szczegółowe ich opisy znajdują
się m.in. poniżej, wśród najciekawszych case’ów.
7/2010
 Informatyka śledcza
Czym jest informatyka śledcza?
Informatyka śledcza (ang. Computer Forensics), to do-
starczanie elektronicznych środków dowodowych czy-
li zespół działań i czynności, które polegają na zabez-
pieczeniu, przeszukiwaniu i wykrywaniu dowodów nad-
użyć i przestępstw dokonanych z użyciem komputera
lub innych urządzeń elektronicznych. Poprzez Compu-
ter Forensics możemy więc odtworzyć kolejność zda-
rzeń użytkownika urządzenia elektronicznego w cza-
sie (i odpowiedzieć na pytania: kto? co? gdzie? kiedy?
jak?), działając na podstawie informacji niedostępnych
dla użytkowników i administratorów systemu.
Obecnie najpopularniejszymi nośnikami dowodów
elektronicznych trafiającymi do największych labora-
toriów odzyskiwania danych i informatyki śledczej są:
dyski twarde komputerów osobistych (61,5 procent),
serwery (20 procent - w tym serwery pocztowe – 7 pro-
cent oraz pozostałe serwery - np. zapisujące dane
z kamer monitorujących ulice – 13 procent), notatniki
elektroniczne (3 procent), pamięci przenośne (11 pro-
cent) oraz telefony (2,5 procent). Większość serwerów
trafia do ekspertyzy wraz z kopiami bezpieczeństwa.
Proces informatyki śledczej
Proces informatyki śledczej to zbiór następujących po
sobie czynności, których wykonanie gwarantuje do-
starczenie organom ścigania, a także osobom prowa-
dzącym dochodzenie danych o pełnej wartości dowo-
dowej. Na proces składają się: gromadzenie informa-
cji, odtwarzanie i odzyskiwanie danych oraz ich anali-
za. Wynikiem działania jest raport ekspertów. Rozpo-
częcie procesu computer forensics poprzedzone jest
dokładnym zapoznaniem się specjalistów ze sprawą.
Klient musi przekazać ekspertom możliwie dużo in-
formacji o prowadzonym postępowaniu tak aby moż-
liwe było podjęcie decyzji jakie nośniki mogą zawierać
istotne informacje.
Gromadzenie informacji
Podstawową zasadą na etapie gromadzenia informa-
cji jest zabezpieczenie oryginalnych nośników jak ty-
powych dowodów. Następnie wykonuje się co naj-
mniej dwie binarne kopie danych. Kopie powstają
bez uruchomienia systemu operacyjnego urządze-
nia, na którym mogą znajdować się potencjalne do-
wody. W niektórych sytuacjach jest to jednak niemoż-
liwe, procedura zabezpieczenia musi być zatem do-
kładnie udokumentowana. Wynika to z faktu, iż w mo-
mencie uruchomienia systemu operacyjnego orygi-
nalnego urządzenia zmienia się dotychczasowa za-
wartość danych znajdujących się na nośniku (dysku,
pamięci itp.).
Zabezpieczanie danych, jako dowodów dotyczy za-
równo komputerów osobistych, przenośnych jak i ser-
werów plików (poczty), baz danych oraz wszystkich
www.hakin9.org
kopii bezpieczeństwa. W zależności od typu postępo-
wania zabezpiecza się także dane z urządzeń prze-
nośnych PDA, telefonów i wszelkich pamięci przeno-
śnych. Po przygotowaniu dwóch kopii zapasowych
otrzymanego nośnika specjaliści zabezpieczają jed-
ną z nich w sposób identyczny do tego w jaki zabez-
pieczony został oryginalny nośnik. Wszelkie prace są
prowadzone na drugiej kopii. Każda operacja podjęta
przez specjalistów musi być szczegółowo udokumen-
towana, a każde udostępnienie nośnika lub informacji
musi być zarejestrowane.
Suma kontrolna
Na potrzeby postępowania dowodowego wykonuje się
kopie binarne zabezpieczone wyliczeniem sumy kon-
trolnej. W procesie informatyki śledczej każdy z nośni-
ków musi zostać zabezpieczony w sposób odpowiedni
do jego indywidualnych właściwości, np. w przypadku
dysków twardych odbywa się to za pomocą wygenero-
wanej podczas kopiowania sumy kontrolnej. Można na
jej podstawie określić czy opisywana przez nią struk-
tura była modyfikowana. Jeżeli zgadza się z pierwotną
wartością, oznacza to, że mamy do czynienia z orygi-
nalną wersją cyfrowego zapisu. W czasie tego proce-
su stosuje się specjalne urządzenia uniemożliwiające
jakikolwiek zapis na oryginalny nośnik.
Niezależnie jednak od sposobu zbierania informacji,
zasady zabezpieczania dowodów wymagają ochro-
ny oryginalnego nośnika oraz wykonania pełnej kopii
danych bez żadnej ingerencji w oryginał. Dodatkowo
konieczne jest zastosowanie metod gwarantujących
identyczność i autentyczność danych (np. przez wyko-
nanie wspomnianej wcześniej sumy kontrolnej). Jaki-
kolwiek błąd na tym etapie pracy może skutkować nie
tylko utratą krytycznych danych, ale również odrzuce-
niem środków dowodowych przez sąd.
W szczególnych przypadkach, kiedy dane zosta-
ją zabezpieczane w wielu lokalizacjach – specjali-
ści informatyki śledczej zwracają szczególną uwagę
na synchronizację czasową. W ten sposób udaje się
uniknąć manipulowania danymi mogącymi posłużyć
jako dowód w prowadzonym dochodzeniu.
Odtwarzanie i odzyskiwanie danych
Dane pobrane z nośników zawierają najczęściej
ogromną ilość informacji, z których część z punktu wi-
dzenia prowadzonego dochodzenia jest nieprzydat-
na. Wyłowienie interesujących danych jest w związku
z tym niestety wyjątkowo złożone i pracochłonne.
Spośród wszystkich danych znajdujących na nośni-
ku specjaliści wyodrębniają wiec te, które mają zna-
czenie dla prowadzonej sprawy. Konsultacja z klien-
tem (zdefiniowana hipoteza badawcza), którą kie-
rują się eksperci podczas badań ma kluczowe zna-
czenie dla sukcesu sprawy i wyciągnięcia odpowied-
31
 PRAKTYKA
nich wniosków. Sytuację może jednak skomplikować
fakt, że nośnik zawiera dużą ilość danych niewidocz-
nych dla użytkownika, a dostępnych dopiero w proce-
sie odtwarzania danych (np. skasowanych, ukrytych
lub zaszyfrowanych). Dzieje się tak często w momen-
cie, gdy oprócz celowo skasowanych danych nastąpi-
ło uszkodzenie logiczne bądź fizyczne nośnika. W ta-
kiej sytuacji nim informatycy śledczy przejdą do ana-
lizy danych znajdujących się na nośniku, muszą naj-
pierw odzyskać utracone wcześniej informacje. Spe-
cjaliści w procesie odtwarzania danych docierają rów-
nież do tzw. przestrzeni typu slack space (dotyczy to
najszerzej rozpowszechnionych systemów plików ty-
pu FAT i NTFS) – sektorów i klastrów resztkowych,
które mogą być nieocenionym zbiorem informacji dla
prowadzących śledztwa czy dochodzenia, szczegól-
nie w przypadkach, w których nastąpiło nadpisanie
danych dowodowych czyli zapisanie na nie nowych
informacji.
Oczywiście należy pamiętać, że wykorzystywane
mechanizmy, które pozwalają sprawdzić historię dzia-
łań użytkownika, zależą od używanego przez niego
oprogramowania i systemu operacyjnego.
Szczególnym przypadkiem odtwarzania danych mo-
że być odzyskiwanie danych z fizycznie uszkodzone-
go nośnika. Średnia światowa skuteczność odzyski-
wania danych w profesjonalnym laboratorium wyno-
si 76 procent. Składają się na nią również najcięższe
przypadki, w których nośniki zostały celowo zniszczo-
ne fizycznie, spalone czy zalane wodą. W większości
tego typu przypadków dane udaje się odzyskać niemal
w 100 procentach.
Rysunek 1. Spalony aparat z którego odzyskano zdjęcia w laboratorium Kroll Ontrack
32
Analiza
Kolejnym krokiem po odtworzeniu danych w proce-
sie Computer Forensics jest ich analiza. Zostaje ona
przeprowadzona wg kryteriów, które ustalane są przez
elektronicznych detektywów w porozumieniu ze zlece-
niodawcą. Typowe poszukiwanie danych polega na
dostosowaniu wszystkich zebranych danych do for-
matu pozwalającego użytkownikowi na łatwy dostęp
do informacji (odszyfrowanie, pominięcie nietypowych
aplikacji, ujednolicenie formatu). Praca specjalisty na
etapie analizy danych polega na odpowiedzi na klu-
czowe pytania (kto?, co? i kiedy?) oraz na odtworze-
niu kolejności krytycznych zdarzeń.
Najczęstsze rodzaje danych analizowanych
w procesie informatyki śledczej
Dostarczając dowodów przestępczości elektronicz-
nej specjaliści informatyki śledczej najczęściej operu-
ją na: danych pocztowych (najczęstsza kategoria da-
nych, które stanowią materiały dowodowe w procesie
informatyki śledczej; w ich przypadku zabezpieczenie
dowodów polega prócz zabezpieczenia plików poczto-
wych na konkretnym komputerze, również zabezpie-
czeniu dostępu do serwerów poczty elektronicznej),
danych bieżących (np. dokumenty pakietu Office), da-
nych odtworzonych i odzyskanych (skasowanych lub
uszkodzonych wcześniej przez użytkownika), danych
zaszyfrowanych przez właściciela i udostępnionych po
złamaniu zabezpieczeń oraz danych zawartych w lo-
gach systemowych i metadanych.
Na tym etapie prac przydatne są narzędzia ułatwia-
jące konwersję danych. Aplikacje takie pozwalają mię-
dzy innymi na bardzo wygod-
ne wyszukiwanie informacji,
zaznaczanie i komentowanie
odnalezionych danych oraz
przygotowywanie szczegóło-
wych raportów z przeprowa-
dzonych prac.
Elementy procesu
analizy danych
Proces analizy danych jest
stosunkowo złożony i obej-
muje najczęściej pięć sta-
diów. Pierwsze z nich po-
lega na odtwarzaniu istot-
nych zdarzeń z uwzględnie-
niem ich chronologii (wizyty
na stronach internetowych,
komunikacja pocztą elektro-
niczną, zmiany dokumentów,
kasowanie danych, szczegó-
ły penetracji systemu itp.).
W drugim stadium poszu-
7/2010
 Informatyka śledcza

kiwane są dokumenty zawierające słowa kluczowe Zgodnie z wymogami Disaster Recovery Plans spo-
związane ze sprawą, wskazywane najczęściej przez rządzane i przechowywane są kopie zapasowe zaso-
organa śledcze. Trzecie stadium natomiast obejmu- bów gromadzonych na serwerach firmowych. Często
je poszukiwanie kopii istotnych dokumentów oraz ich specjaliści informatyki śledczej stają przed konieczno-
wcześniejszych wersji. Ostatnie dwie części procesu ścią analizy wielu milionów informacji pocztowych nie-
dotyczą sprawdzanie istnienia na nośniku i zaistnienia jednokrotnie pochodzących z różnych serwerów (ich
operacji z wykorzystaniem programów kasujących da- kopii bezpieczeństwa).
ne oraz analizę autentyczności danych oraz znaczni- Najciekawsze przypadki informatyki śledczej rozwią-
ków czasowych. zane przez specjalistów informatyki śledczej w Polsce
i na świecie:
Raport
Wynikiem pracy specjalistów Computer Forensics 1. Sprawa gdańskiej gimnazjalistki
jest szczegółowy raport zawierający informacje o od- Działania związane z informatyką śledczą nie dotyczą
nalezionych danych istotnych dla prowadzonej spra- jedynie danych zamieszczonych na dyskach twardych
wy. Elementem raportu powinno być także osadzenie komputerów, ale również na takich urządzeniach, jak
w czasie kluczowych zdarzeń. pamięci flash, bądź telefony komórkowe.
Jako, że treść raportu musi być ściśle skorelowana W związku ze zwiększającą się liczbą funkcji i pojem-
ze sprawą konieczna jest bliska współpraca specjali- ności telefonów komórkowych, dane z nich pochodzą-
stów w laboratorium z osobami prowadzącymi sprawę. ce mogą stać się cennym źródłem dowodowym, wyko-
Elementem współpracy laboratorium informatyki śled- rzystywanym w informatyce śledczej. Jednym z takich
czej i klienta jest także przedstawianie wyników prac przypadków była udana próba odzyskania filmu zapi-
w sądzie. Informatycy śledczy przywołani przez proku- sanego na telefonie komórkowym jednego z gdańskich
ratora i sądy dla wydania opinii prezentują materiał do- uczniów w roku 2006.
wodowy jako tzw. biegli ad-hoc . Pomimo faktu, że nie Film ten był zapisem napastowania jednej z gimna-
wszystkie sprawy trafiają na wokandę, wszystkie czyn- zjalistek przez grupę jej kolegów, w tym chłopca na-
ności w ramach procesu muszą być prowadzone w ta- grywającego to zdarzenie, podczas lekcji w szkole.
ki sposób, aby wartość dowodowa zgromadzonego Nagranie to zostało następnie opublikowane w Inter-
materiału była niepodważalna. Na świecie tylko około necie, co mogło doprowadzić do samobójczej śmier-
20 procent spraw prowadzonych przez specjalistów in- ci dziewczynki.
formatyki śledczej ma finał w sądzie. Często potrzeb- Po tym zdarzeniu i rozgłosie, jaki został mu nadany
ne są jedynie np. dowody winy pracownika pozwalają- w mediach, chłopcy skasowali film. Telefon został jed-
ce pracodawcy na uszczelnienie systemu dostępu do nak zabezpieczony przez policję, której przedstawicie-
informacji. Jak wspomniano wcześniej jedną z najczę- le w toku postępowania przekazali aparat do analizy
ściej analizowanych kategorii danych w procesie in- specjalistom informatyki śledczej. W laboratorium in-
formatyki śledczej są pliki
poczty elektronicznej i wy-
daje się, że ta kategoria da-
nych nie ustąpi z pierwsze-
go miejsca w ciągu najbliż-
szych lat.
Na każdym z powyższych
etapów istnieje możliwość
wykorzystania danych z wia-
domości e-mail w procesie
dowodowym zmierzającym
do wykrycia „przecieku” in-
formacji, czy to poprzez od-
tworzenie treści podejrzanej
wiadomości, czasu jej wy-
słania czy też innych cech.
Korporacyjne serwery
pocztowe przechowują wia-
domości wszystkich pra-
cowników, którzy korzysta-
ją z poczty elektronicznej. Rysunek 2. Specjaliści Kroll Ontrack podczas odzyskiwania danych w laboratorium

www.hakin9.org 33
 PRAKTYKA
formatyki śledczej odzyskano wykasowaną zawartość
telefonu, w tym nagranie z lekcji. Film został wykorzy-
stany w sprawie.
2. Komputer prezesa portalu wp.pl
Sprawa komputera prezesa Wirtualnej Polskiej jest
przykładem straty jaką poniosła jedna ze stron z po-
wodu braku świadomości istnienia usług informatyki
śledczej w Polsce.
Większościowy udziałowiec portalu wp.pl zawarł
porozumienie z posiadaczami udziałów stanowiący-
mi mniejszość, w którym zobowiązał się do odkupie-
nia reszty udziałów po określonym czasie. Cena wy-
kupienia udziałów miała zależeć bezpośrednio od ilo-
ści użytkowników portalu.
Po upływie terminu, w którym miało nastąpić odku-
pienie udziałów okazało się, że mniejszościowy pakiet
Rysunek 3. Specjaliści odzyskiwania danych Kroll Ontrack podczas pracy w
laboratorium
34
udziałów był droższy niż łączna kapitalizacja dwóch
najbardziej konkurencyjnych portali.
Większościowy udziałowiec wycofał się z podjętego
zobowiązania. Podjęte zostały działania prowadzące
do pogorszenia kondycji finansowej portalu, a w kon-
sekwencji do doprowadzenia portalu do upadłości.
Mniejszościowi udziałowcy zdecydowali się na zwery-
fikowanie zawartości komputera przenośnego jedne-
go z managerów.
Komputer zawierający dane, które miały stanowić
materiał dowodowy w sprawie, zdeponowano u nota-
riusza. Zanim to jednak nastąpiło osoby te otwarły pliki,
w których znajdowały się strategiczne dla sprawy infor-
macje - materiały mające świadczyć o próbie doprowa-
dzenia portalu do upadłości. Niestety otwierając doku-
ment zmieniono jego atrybuty włącznie z datą utworze-
nia, pozbawiając dokument wartości dowodowej.
W przypadku zlecenia takich działań in-
formatykom śledczym, zabezpieczyliby oni
nośnik, wykonaliby kopię jego zawartości
bez uruchamiania plików oraz umożliwiliby
osobom prowadzącym dochodzenie wgląd
do zawartości plików. W ten sposób war-
tość dowodowa zgromadzonego materiału
zostałaby zachowana.
3. Informatycy śledczy dla FBI i
Prokuratora Generalnego USA
W Stanach Zjednoczonych pracownikowi
dużej korporacji została wytoczona sprawa
o umyślne spowodowanie utraty strategicz-
nych danych jego pracodawcy. Miało to do-
prowadzić do znacznych strat firmy, a w re-
zultacie do zwolnienia 100 jej pracowników.
W trakcie analizy dokonywanej przez
informatyków śledczych okazało się, że
pracując jeszcze w korporacji, pracownik
stworzył program komputerowy, który nisz-
czył dane. Program umieścił na serwerze
firmowym. Okazało się, że narzędzie dzia-
łało na zasadzie bomby zegarowej. "Bom-
bę" aktywował nieświadomie jeden z pra-
cowników, logując się po określonym cza-
sie na serwerze firmowym.
Specjaliści wykazali winę zwolnione-
go pracownika obalając główny argument
obrony, jakoby dane firmowe zostały ska-
sowane przypadkowo. Wykazali dodatko-
wo, że na prywatnym komputerze oskarżo-
nego znajdowały się dane identyczne z ty-
mi, które posłużyły do stworzenia groźnego
programu. Po analizie wszystkich danych
znajdujących się na serwerach poczto-
wych oraz koncie pocztowym podejrzane-
go pracownika informatycy śledczy przed-
7/2010
 Informatyka śledcza
stawili materiał dowodowy w sądzie. Dopiero te działa-
nia umożliwiły udowodnienie winy pracownika.
4. Dysk Aleksandry Jakubowskiej i dyski
wykradzione z MSZ
Do końca lat dziewięćdziesiątych świadomość istnie-
nia informatyki śledczej była w Polsce niemalże ze-
rowa. Zmiany nastąpiły dopiero wtedy, gdy działania
związane z informatyką śledczą (ang. computer foren-
sics) stały się udziałem głośnych medialnie spraw, jak
np. afera Rywina czy wykradzenie dysków z Minister-
stwa Spraw Zagranicznych. Jednocześnie wydarzenia
te pokazały, jak istotna może okazać się praca specja-
listów informatyki śledczej.
W roku 2002 rozpoczęło się śledztwo związane
z tzw. aferą Rywina. Jednym z kluczowych dla śledz-
twa działań było odzyskanie wiadomości pocztowej ze
sformatowanego dysku Minister Aleksandry Jakubow-
skiej. Znajdowały się na nim dowody pozwalające pro-
kuraturze na ustalenie przebiegu wydarzeń w jednym
z wątków afery korupcyjnej.
Drugim wydarzeniem, które zwróciło uwagę opinii
publicznej na tematykę Computer Forensics było wy-
kradzenie dysków z Ministerstwa Spraw Zagranicz-
nych. Brak zabezpieczenia zużytych nośników i mo-
nitorowania dostępności do nich mógł, w najgorszym
wypadku, doprowadzić do pogorszenia stosunków
międzynarodowych między Polską a innymi krajami.
5. Nieuczciwi pracownicy
Coraz powszechniejszy staje się ostatnio problem nie-
uczciwych pracowników. Do najliczniejszych przypad-
ków, którymi zajmują się elektroniczni detektywi nale-
ży m.in. kradzież danych przez nieuczciwych pracow-
ników.
Przykładem takiej sytuacji jest jedna z firm informa-
tycznych, zajmująca się tworzeniem i wdrożeniami
aplikacji biznesowych. Zespół zatrudniony do obsługi
jednego z klientów firmy postanowił przejąć propono-
wane przez firmę rozwiązania (zespół przygotowywał
się do kradzieży kodu źródłowego informacji) i sprze-
dać je poza nią, po uprzednim zwolnieniu się poszcze-
gólnych osób z pracy. Ustalono nawet osobną pulę
pieniędzy, która miała być przeznaczona na ewentual-
ną karę nałożoną przez pracodawcę. Propozycję, któ-
ra miała być tańsza od oryginalnej, złożył jeden z han-
dlowców, będący w bezpośrednim kontakcie z klien-
tem. W wyniku tego klient postanowił zerwać umowę
z firmą i skorzystać z tańszej oferty złożonej przez nie-
uczciwych pracowników.
Zaniepokojony takim postępowaniem klienta zarząd
firmy postanowił przeanalizować zaistniałą sytuację
i w wyniku własnych ustaleń dotyczących handlowca
zdecydował się na dalsze kroki – zlecenie firmie zajmu-
jącej się informatyką śledczą analizy komputerów, urzą-
www.hakin9.org
dzeń PDA oraz telefonów komórkowych należących do
zespołu. Podjęte przez specjalistów działania dały peł-
ny obraz nieuczciwych działań pracowników i pozwoli-
ły firmie na wyciągnięcie prawnych konsekwencji w sto-
sunku do zaangażowanych w to działanie osób.
6. Dostarczenie elektronicznych środków
dowodowych do trzech krajów jednocześnie
Eksperci największej firmy zajmującej się informaty-
ką śledczą na świecie otrzymali zlecenie tzw. akwizy-
cji danych polegającej na skopiowaniu informacji elek-
tronicznych w taki sposób, aby nie straciły one warto-
ści dowodowej (narzędzia wykorzystywane przez in-
formatyków śledczych pozwalają na zachowanie tzw.
sumy kontrolnej. Jej niezmieniona wartość gwarantuje
brak ingerencji w zawartość zabezpieczanych plików
elektronicznych). Identyczną operację przeprowadzili
w tym samym czasie specjaliści informatyki śledczej
z tej samej firmy w Niemczech i we Francji. Zlecenio-
dawcą był zarząd francuskiej firmy farmaceutycznej.
Powodem do zatrudnienia „elektronicznych detekty-
wów” było podejrzenie o malwersacje finansowe zarzą-
du polskiego oddziału firmy, którego członkowie otwo-
rzyli firmę pośredniczącą w zakupach dla koncernu
oferując towary po cenach nierynkowych i powodując
w ten sposób powstanie wymiernych strat dla firmy.
Operacja zebrania materiałów dowodowych prze-
prowadzana w każdym z trzech krajów tej samej no-
cy odbyła się w obecności prawnika, notariusza i służ-
by ochrony mienia. Informatycy śledczy skopiowa-
li dane z każdego komputera w firmie oraz z urządzeń
służących do archiwizacji danych firmowych. Każde
z miejsc pracy zostało sfotografowane.
Dane z Niemiec i Polski trafiły następnie do Francji.
Podobnie jak dane z siedziby głównej koncernu, zo-
stały poddane analizie. Wynikało z niej, że przypusz-
czenie działania na szkodę koncernu przez zarząd
polskiego oddziału firmy jest prawdziwe.
Po analizie wyników analizy zarząd francuskiego
koncernu zdecydował się na zmianę całego personelu
polskiego oddziału (zarządu i pracowników). Nie wia-
domo, czy członkom zarządu wytoczono procesy.
7. Kradzież i wykorzystanie danych przez
konkurencję
Udostępnianie danych osobom, które przeprowadzają
dla danej firmy określone projekty może niekiedy oka-
zać się niezwykle ryzykowne. Doświadczyło tego jed-
no z największych biur projektowych, które na potrzeby
realizacji jednego ze zleceń postanowiło podjąć współ-
pracę z inną firmą. Miała ona wesprzeć działania biura
i wraz z jego pracownikami utworzyć zespół zajmujący
się projektem przez następne czternaście miesięcy.
Powołany zespół pracował w siedzibie biura projek-
towego (zleceniodawcy). Dzięki temu pracownicy fir-
35
 PRAKTYKA
my wspomagającej biuro mieli potencjalną szansę na
bezprawny dostęp do wszelkich danych znajdujących
się na komputerach ich zleceniodawcy.
W trakcie realizacji projektu pracownicy biura przy-
padkowo odkryli, iż na rynku pojawiły się produkty ba-
zujące na rozwiązaniach technologicznych stworzo-
nych przez nich samych. W tej sytuacji, obawiając się
przecieku, przeprowadzono analizę komputerów pra-
cowników, serwerów danych oraz przesyłanych do-
kumentów. Pozwoliło to na ustalenie źródła przecie-
ku, którym okazał się zespół projektowy, a dokładnie
jeden z pracowników firmy zatrudnionej przez biuro.
Ustalono, że kilkakrotnie włamywał się on na serwe-
ry, gdzie przechowywane były dane pochodzące z in-
nych projektów, po czym przesyłał je na serwery swej
macierzystej firmy.
Odkrycie tych działań nie byłoby możliwe bez szcze-
gółowej analizy komputerów biura projektowego, do-
konanej przez specjalistów i poprawnego zabezpie-
czenia elektronicznych środków dowodowych, które
mogły być użyte w sądzie. Zarazem przypadek ten po-
kazuje, jak istotne jest zabezpieczenie danych firmy,
których wykorzystanie może być w przyszłości przy-
czyną jej poważnych problemów.
8. Komputer wyrzucony z okna
Dane z odzysku mogą być i bywają dowodami prze-
stępstw. Osoby, które łamią prawo pilnie strzegą infor-
macji mogących je pogrążyć.
Ponieważ wiele takich danych jest archiwizowanych
na komputerach (często przenośnych) jedną z metod
oskarżenia przestępcy jest zgromadzenie elektronicz-
nych dowodów łamania prawa, czyli danych zapisa-
nych w formie elektronicznej.
Przestępcy najczęściej korzystają z komputerów
przenośnych. Pozwala im to na ciągły nadzór nad
ważnymi danymi.
W razie potrzeby jest też łatwiej pozbyć się note-
book’a niż setek lub tysięcy kartek papieru. Tak przy-
najmniej sądził ścigany przez policję przestępca, księ-
gowy jednej z dużych grup przestępczych. Uciekając
po schodach budynku, dotarł na dach i zrzucił z niego
komputer przenośny z obciążającymi go danymi.
Ponieważ informacje te mogły być decydujące
w śledztwie do odzyskania danych zatrudniono fir-
mę specjalizującą się w informatyce śledczej. Cały
komputer po upadku był mocno zniszczony. Jednak
z uszkodzonego dysku udało się odzyskać ok. 7 proc.
danych. Taka ilość informacji wystarczyła do obciąże-
nia podejrzanego.
9. Elektroniczne dowody fałszerstw
Do firmy zajmującej się informatyką śledczą trafiło
zgłoszenie przesłane przez prokuraturę prowadzącą
śledztwo w sprawie fałszowania dokumentów.
36
Podczas przesłuchań trzy zatrzymane osoby posłu-
gujące się sfałszowanymi dokumentami przyznały się
do winy. Jednocześnie w czasie przesłuchań okaza-
ło się, że współpracował z nimi informatyk, który przy-
gotowywał w wersji elektronicznej kopie dokumentów
tożsamości, zaświadczeń o zatrudnieniu i pieczątek.
Po tym zeznaniu prokuratura wydała nakaz areszto-
wania podejrzanego o fałszerstwo oraz nakazała zare-
kwirowanie sprzętu komputerowego z użyciem które-
go dokonywano fałszerstw.
Na porę zatrzymania podejrzanego wybrano wie-
czór. W czasie interwencji funkcjonariuszy fałszerz
dokumentów próbował zniszczyć komputer uderzając
nim o ziemię. Jego działania odniosły skutek ponieważ
dysk twardy, który znajdował się w jego laptopie uległ
uszkodzeniu fizycznemu – jego elementy mechanicz-
ne zostały uszkodzone.
W takim przypadku jedynym możliwym sposobem
odzyskania danych jest otwarcie nośnika w labora-
toryjnych warunkach oraz wykorzystanie technolo-
gii umożliwiającej odtworzenie danych bezpośrednio
z otwartego nośnika.
W przypadku fałszerza informatycy śledczy odzyskali
74 pliki zawierające wzorce spreparowanych dokumen-
tów. Informacje te posłużyły jako materiał dowodowy
w prowadzonym przez prokuraturę dochodzeniu.
10. Była pracownica oskarżona o
przyczynienie się do upadku firmy
Pracownica jednej z katowickich firm założyła podczas
trwania stosunku pracy własną firmę. Bankrutujący
pracodawca obwinił ją o problemy swojej firmy, które
miały być spowodowane tym, iż pracownica w czasie
pracy wykonywała czynności związane z jej prywatną
firmą zaniedbując obowiązki służbowe.
Pracownica twierdziła, że wszystkie czynności zwią-
zane ze swoją firmą wykonywała po pracy. Jako do-
wód zleciła analizę operacji wykonywanych z użyciem
komputera „elektronicznym detektywom” – informaty-
kom śledczym, którzy przeanalizowali dane znajdujące
się w komputerze pracownicy. Okazało się, że kobieta
wykonywała wszystkie czynności związane z prowa-
dzeniem własnej firmy po godzinach pracy. Pracodaw-
ca odstąpił od skierowania sprawy do sądu.###
PIOTR DEMBIŃSKI
Imago PR
tel. (032) 608 29 85
gsm. 693 285 916
email: p.dembinski@imagopr.pl
PAWEŁ ODOR
Autor jest głównym specjalistą polskiego oddziału Kroll On-
track, największej �rmy z branży odzyskiwania danych i infor-
matyki śledczej na świecie.
7/2010
 Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
Endpoint Security
Paweł Śmigielski
Zdecydowana większość firm zabezpiecza swoje sieci
i komputery przed atakami z zewnątrz, stosuje antywirusy,
firewalle i systemy wykrywania włamań. Jednocześnie
zapominamy o zagrożeniach ze strony swoich własnych
pracowników. W artykule poznamy różne rozwiązania chroniące
przed wyciekiem i utratą danych ze stacji roboczych.
Dowiesz się:
• jakie są źródła wycieku i utraty danych we współczesnych or-
ganizacjach,
• co to jest Endpoint Security i Data Loss Prevention,
• jakie rozwiązania pomagają zminimalizować ryzyko utraty danych.
„System bezpieczeństwa jest tak silny jak jego
najsłabsze ogniwo – człowiek.”
Kevin Mitnick
B
adania przeprowadzone wśród osób odpowie-
dzialnych za zapewnienie bezpieczeństwa infor-
macji wskazują, że ponad 50% ataków i naruszeń
bezpieczeństwa w firmach pochodzi z wnętrza organizacji.
Jednak wciąż panuje tendencja do zabezpieczania firmo-
wej sieci tylko przed atakami lub nieautoryzowanym do-
stępem z zewnątrz. Firmy wykorzystują coraz bardziej zło-
żone zapory ogniowe, systemy wykrywania włamań i in-
truzów, konfigurują serwery proxy, zabezpieczają fizyczny
dostęp, zarówno do serwerowni, jak i pomieszczeń, gdzie
znajdują się komputery. Zapominają jednocześnie o za-
grożeniach i ryzyku utraty danych związanym ze swoimi
pracownikami, znajdującymi się wewnątrz firmowej sie-
ci. Czy możliwe jest zapewnienie całkowitej ochrony da-
nych przechowywanych w organizacji i zabezpieczenie
ich przed nieuczciwymi zamiarami pracowników?
Czy współczesne rozwiązania techniczne mogą za-
pewnić kompletne bezpieczeństwo danych tworzonych,
przechowywanych i modyfikowanych w systemach in-
formatycznych?
Olbrzymia ilość danych w systemach
informatycznych
Każda firma przetwarza ogromne ilości informacji zwią-
zanych ze swoją codzienną działalnością. W dobie po-
www.hakin9.org
Powinieneś wiedzieć:
• powinieneś mieć podstawową wiedzę związaną z bezpieczeń-
stwem informacji.
wszechnej informatyzacji zdecydowana większość da-
nych istnieje w postaci cyfrowej. Powoduje to znacznie
większą dostępność informacji dla naszych klientów,
partnerów oraz organów administracji publicznej. Jed-
nocześnie stanowi poważne zagrożenie dla funkcjono-
wania firmy i prywatności kontrahentów.
Rozumiejąc wagę posiadanych danych, organizacje
podejmują kroki w celu ochrony przed ich utratą. Jednym
z wyzwań, które obecnie stoją przed działami IT staje się
zapewnienie bezpieczeństwa danych przechowywanych
w swoich systemach informatycznych, a także umożli-
wienie bezpiecznego przepływu i wymiany informacji.
Jest to podyktowane nie tylko dbaniem o wizerunek fir-
my, ale również wymaganiami, które są nakładane na or-
ganizacje przez liczne akty prawne oraz normy i regu-
lacje branżowe specyficzne np. dla banków, towarzystw
ubezpieczeniowych lub organów służby zdrowia.
Zgodność z wymaganiami prawa
Organizacje, jako administratorzy danych w postaci
elektronicznej zobowiązane są do stosowania i prze-
strzegania szeregu uregulowań prawnych dotyczących
zabezpieczania informacji.
W Polsce głównym aktem prawnym, który dotyczy in-
formacji przetwarzanych w administracji publicznej jest
ustawa z 29 sierpnia 1997 r. o ochronie danych oso-
bowych.
Wg rozdziału piątego ustawy administrator danych
w organizacji jest zobowiązany do zapewnienia bez-
37
 BEZPIECZNA FIRMA
pieczeństwa przetwarzanych danych osobowych, ze
szczególnym uwzględnieniem ochrony przed nieupo-
ważnionym dostępem do tych danych. Powinien tak-
że zapewnić środki pozwalające na monitorowanie, kto
wprowadza dane osobowe do systemu informatyczne-
go oraz komu są one przekazywane np. za pomocą
urządzeń teletransmisji danych.
Kolejnym dokumentem prawnym zawierającym wy-
tyczne dotyczące bezpieczeństwa systemów informa-
tycznych jest rozporządzenie MSWiA z dnia 29 kwiet-
nia 2004 r.w sprawie dokumentacji przetwarzania da-
nych osobowych oraz warunków technicznych i organi-
zacyjnych, jakim powinny odpowiadać urządzenia i sys-
temy informatyczne służące do przetwarzania danych
osobowych.
Załącznik A w/w rozporządzenia obliguje użytkowni-
ków komputerów przenośnych, które zawierają dane
osobowe do stosowania środków ochrony kryptogra-
ficznej wobec przechowywanych danych.
Załącznik B zobowiązuje do zabezpieczenia urzą-
dzeń i nośników zawierających dane osobowe, w spo-
sób gwarantujący poufność i integralność tych danych.
Załącznik C mówi o zabezpieczeniu, które kontrolu-
je przepływ między systemem informatycznym a siecią
publiczną.
Innym aktem prawnym bezpośrednio dotyczącym
bezpieczeństwa informacji jest rozporządzenie Preze-
sa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie
podstawowych wymagań bezpieczeństwa teleinforma-
tycznego.
Rozdział drugi w/w aktu definiuje podstawowe wy-
magania bezpieczeństwa teleinformatycznego, wymie-
nia m.in. ochronę kryptograficzną informacji niejawnych
przetwarzanych w systemie informatycznym zapewnia-
jącą poufność, integralność oraz uwierzytelnienie.
Oczywiście przytoczyłem tutaj tylko kilka spośród wie-
lu różnorodnych aktów prawnych, które definiują wyma-
gania bezpieczeństwa dla danych i systemów informa-
tycznych. Wyżej wymienione uregulowania bezpośred-
nio dotyczą kwestii zabezpieczania urządzeń i nośni-
ków przenośnych oraz ochrony kryptograficznej. Dla
zainteresowanych w Tabeli 1 przedstawiłem rozszerzo-
ną listę aktów prawnych stosowanych w Polsce, Unii
Europejskiej oraz Stanach Zjednoczonych.
Wycieki informacji w 2009
Według organizacji InfoWatch, która zbiera i analizu-
je informacje dotyczące wycieków informacji z całe-
go świata pojawiające się w mediach, na blogach, fo-
rach internetowych i innych dostępnych źródłach, w ro-
ku 2009 nastąpił wzrost incydentów związanych z utra-
tą danych o 39% w porównaniu do roku 2008.
Prawie 2/3 tych wycieków miało miejsce w firmach ko-
mercyjnych, zaś 1/3 wśród organów administracji pu-
blicznej i edukacji.
38
Wciąż najwięcej przypadków utraty informacji wiąże
się z danymi osobowymi, które ze względu na często-
tliwość występowania łatwiej stracić niż tajemnice han-
dlowe lub inne dokumenty firmowe (Rysunek 1).
Przytoczone wyżej statystyki opierają się na global-
nych badaniach, ale oczywiście Polska nie różni się
zbytnio od innych krajów. W mediach systematycznie,
co kilka tygodni pojawiają się informacje o utracie da-
nych przez firmę lub urząd. Rysunek 2 przedstawia kil-
ka najbardziej znanych przypadków wycieku danych
z różnych organizacji.
Wśród głównych zagrożeń dla danych możemy wy-
różnić:
• Utrata urządzeń i nośników przenośnych.
• Nieautoryzowany transfer danych na nośniku USB.
• Brak klasyfikacji informacji (nie wiadomo, które da-
ne są wrażliwe).
• Kradzież informacji firmowych przez pracowników.
• Drukowanie dokumentów zawierających wrażliwe
dane.
Endpoint Security, czyli bezpieczeństwo stacji
roboczych
Obecnie prawie wszyscy producenci rozwiązań z za-
kresu bezpieczeństwa informacji oferują w swojej ofer-
cie produkt, który zawiera w nazwie endpoint security.
W dosłownym tłumaczeniu z języka angielskiego ozna-
cza to bezpieczeństwo punktów końcowych, czyli kom-
puterów, które są wykorzystywane przez pracowników
firmy. W pojęciu tym zawierają się m.in.:
• Antywirus.
• Firewall.
• Antyspam.
• VPN.
Rysunek 1. Rozkład wycieku informacji ze względu na typ danych.
Źródło: Raport InfoWatch Global Data Leakage 2009
7/2010
 Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
• Kontrola dostępu do sieci (NAC – Network Access
Control).
• DLP.
W dalszej części artykułu przyjrzymy się bliżej właśnie
temu ostatniemu pojęciu.
DLP (z ang. Data Loss Prevention) jest terminem
z obszaru bezpieczeństwa teleinformatycznego, okre-
śla systemy, które identyfikują, monitorują oraz zabez-
pieczają:
• dane wykorzystywane w organizacji – działania na
stacjach końcowych,
• transfer danych – ruch sieciowy,
• przechowywane dane – magazynowanie danych,
poprzez filtrowanie typów i zawartości plików i możli-
wość centralnego zarządzania. Głównym celem pro-
jektowania systemów DLP jest wykrywanie i ochrona
przed nieautoryzowanym wykorzystaniem i przesyła-
niem poufnych informacji.
Mówiąc o rozwiązaniach DLP możemy wyróżnić: szy-
frowanie dysków twardych i pamięci przenośnych, kon-
trolę i zarządzanie urządzeniami przenośnymi, znako-
wanie plików, ochronę poczty elektronicznej, zarządza-
nie tożsamością i dostępem.
Ciekawostka: W zależności od producenta, spotyka-
ne są także inne wyrażenia określające DLP: Data Le-
ak Prevention, Information Leak Detection and Preven-
tion (ILDP), Information Leak Prevention (ILP), Content
Monitoring and Filtering (CMF) i Extrusion Prevention
System poprzez analogię do Intrusion-Prevention Sys-
tem (IPS).
Monitorowanie przepływu informacji w
firmie – kontrola urządzeń i aplikacji
Zdecydowana większość dokumentów tworzonych
i edytowanych w dzisiejszych czasach istnieje głównie
w wersjach cyfrowych, zapisanych na dyskach twar-
dych naszych komputerów. W przypadku, gdy doku-
menty przetwarzane są na różnych komputerach w fir-
mie, pojawia się potrzeba ich przenoszenia. Z pomo-
cą przychodzą wszelkiego rodzaju pamięci przenośne,
począwszy od najbardziej powszechnych pamięci USB,
poprzez odtwarzacze multimedialne i karty pamięci wy-
korzystywane w telefonach komórkowych, kończąc na
wciąż popularnych płytach CD i DVD, które umożliwiają
proste i szybkie kopiowanie danych, zarówno w obrębie
firmy, jak i poza nią.
Niska cena i szeroka dostępność powodują, że prak-
tycznie wszyscy pracownicy używają w swojej codzien-
nej pracy w/w urządzeń i nośników.
Musimy mieć jednak świadomość, że prostota uży-
cia i miniaturyzacja dostępnych obecnie pamięci prze-
nośnych, oprócz oczywistej wygody, niosą ze sobą tak-
www.hakin9.org
że wiele zagrożeń dla przechowywanych przez nas in-
formacji.
Badania przeprowadzone przez firmę Cisco dowo-
dzą, że zagrożenia związane z wyciekiem lub kradzie-
żą informacji wewnątrz organizacji stają się coraz bar-
dziej powszechne i jednocześnie bardziej kosztowne
niż zagrożenia ze strony osób z zewnątrz:
• 33% specjalistów IT niepokoi się utratą danych
wskutek zgubienia lub kradzieży pamięci USB,
• 39% specjalistów IT bardziej niepokoją zagrożenia
ze strony pracowników niż hakerów.
Z kolei z corocznego raportu (2009) opracowanego
przez organizację InfoWatch, zajmującą się zabezpie-
czaniem informacji, wynika, że 33% wszelkich wycie-
ków danych ma związek z używaniem laptopów, pa-
mięci USB, dysków CD i DVD oraz fizycznym dostę-
pem do stacji roboczych i serwerów.
Powszechną strategią zabezpieczania danych należą-
cych do danej firmy jest przydzielanie praw dostępu do
dokumentów, w oparciu o przynależność do konkretne-
go działu i zakres obowiązków danego pracownika. Jest
to podejście słuszne, stanowi jednak tylko jeden z pod-
stawowych elementów zabezpieczania informacji.
Może się bowiem zdarzyć, że ten sam pracownik kie-
rując się różnymi motywami, będzie chciał skopiować da-
ne i wynieść je poza firmę. Z racji pełnionych przez siebie
obowiązków będzie miał taką fizyczną możliwość.
Jeden z pierwszych wniosków, który nasuwa się po
przeczytaniu powyższych informacji, to ustanowienie
kontroli nad dokumentami (plikami), do których dostęp
mają pracownicy. W jaki sposób pogodzić jednak po-
trzebę codziennej pracy z ogromną ilością różnego typu
dokumentów, z potrzebą skutecznego ich zabezpiecze-
nia? W jaki sposób kontrolować użycie pamięci i urzą-
dzeń przenośnych służących do przechowywania da-
Rysunek 2. Przykłady wycieku danych w Polsce.
39
 BEZPIECZNA FIRMA

nych, a jednocześnie umożliwić pracownikom korzysta-

nie z myszy, klawiatury i skanera? Co zrobić, aby za-
bezpieczyć dane, które muszą być przenoszone i edy-
towane poza firmą?
Rozwiązaniem, które odpowiada na powyższe pyta-
nie jest właśnie DLP. W większości przypadków jest to
centralnie zarządzane oprogramowanie do kontroli, mo-
nitorowania, audytu i zabezpieczania portów, urządzeń
i danych zapisanych na stacjach roboczych. Umożliwia
definiowanie polityk bezpieczeństwa, które zapobiegają
zapisywaniu i odczytowi danych z nieautoryzowanych
urządzeń przenośnych. Ponadto dostarcza kompletne
informacje (audyt) o podłączonych urządzeniach i pli-
kach, do których użytkownik miał dostęp. Szeroki wy-
bór rozwiązań DLP dostępnych na rynku sprawia, że
oferowane są dodatkowe, ciekawe funkcjonalności, ta- Rysunek 4. Rozkład wycieku informacji ze względu na
kie jak: definiowanie, które typy plików mogą być edyto- intencjonalność.
wane i zapisywane przez użytkowników oraz kopiowa- Źródło: Raport InfoWatch Global Data Leakage 2009
ne na urządzenia i nośniki przenośne, a także zapisy-
wanie na serwerze wszystkich danych, które były mo- rali i zapisywali, jakie dokumenty drukowali i jakie
dyfikowane lub kopiowane na te pamięci w celu póź- urządzenia podłączali do komputera.
niejszego audytu. • Tryb kontroli – administrator ustala polityki dostępu
Administrator rozwiązania DLP może wymusić szyfro- do dokumentów, urządzeń i aplikacji, agent zainsta-
wanie wszystkich danych zapisywanych na nośnikach lowany na stacji roboczej odpowiada za egzekwo-
przenośnych. Ponadto może kontrolować wydruk doku- wanie tych polityk.
mentów przez pracowników na drukarkach lokalnych,
sieciowych, a nawet wirtualnych. Szyfrowanie dysków twardych
Rozszerzeniem funkcjonalności kontroli urządzeń Statystyki mówią, że każdego roku kradzione są tysią-
może być zarządzanie aplikacjami, które pracownicy ce laptopów. Prawie każdy firmowy komputer zawie-
mogą uruchamiać na swoich komputerach, a także peł- ra wrażliwe informacje, które powinny być chronione
ny monitoring zainstalowanego oprogramowania włącz- przed nieautoryzowanym dostępem, bez względu na
nie z czasem uruchomienia poszczególnych aplikacji. to, czy są to tajemnice handlowe czy dane osobowe.
Na zakończenie warto dodać, że rozwiązania DLP Skutki wycieku danych poza organizację mogą okazać
mogą być wdrażane w firmach na dwa sposoby: się katastrofalne. Ich ujawnienie może doprowadzić do
naruszenia obowiązującego prawa, strat finansowych
• Tryb monitoringu – podgląd działań użytkowników lub pozwów sądowych.
na komputerach, informacje o tym jakie pliki otwie- W celu skutecznego zabezpieczenia danych przecho-
wywanych na dyskach
twardych, a także pa-
mięciach przenośnych
USB, dyskach CD
i DVD, napędach ZIP
i Jaz, rekomendowa-
ne jest zastosowanie
narzędzia do szyfro-
wania danych.
W jaki sposób wy-
brać rozwiązanie, któ-
re będzie adresować
wszystkie potrzeby or-
ganizacji, a jednocze-
śnie będzie mieścić
się w ramach budże-
tu przeznaczonego na
Rysunek 3. Punkty wycieku danych w organizacji. ochronę informacji?

40 7/2010
 Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?

Podstawowym kryterium wyboru oprogramowania

szyfrującego jest algorytm szyfrujący i jego siła. Obec-
nie stosowanym standardem jest AES z kluczem 256-
bitowym.
Ponadto należy zwrócić uwagę na sposób szyfrowa-
nia. Najczęściej spotykane jest szyfrowanie wszystkich
sektorów dysku lub szyfrowanie na poziomie plików
i folderów. Bezpieczniejszym i i zarazem wygodniej-
szym rozwiązaniem jest opcja pierwsza. Jeśli oprogra-
mowanie szyfruje na poziomie sektorów, to mamy pew-
ność, że wszystkie dane pozostają bezpieczne i nigdy
nie zdarzy się sytuacja, że użytkownik zapomni zaszy-
frować części plików.
Zdecydowana większość Czytelników słysząc termin
szyfrowanie, pomyśli o narzędziu TrueCrypt. Jest to
bezpłatne rozwiązanie służące do szyfrowania danych
w locie, co oznacza, że dane są automatycznie szyfro-
wane lub odszyfrowywane w momencie, gdy użytkow-
nik chce uzyskać do nich dostęp lub kończy z nich ko-
rzystać np. w momencie zamknięcia dokumentu teksto-
wego. Dostęp do danych jest zabezpieczony za pomo-
cą hasła. Nie jest możliwe odczytanie danych bez uży-
cia właściwego hasła lub klucza szyfrującego. Szyfro-
wany jest cały system plików: nazwy plików, nazwy fol-
derów, zawartość plików, wolne miejsce na dysku itd.
Podstawowe korzyści przy stosowaniu TruCrypta:
• automatyczne szyfrowanie danych transparentne
dla użytkownika końcowego,
• wsparcie dla systemów Windows, Mac OS i Linux,
ochrona partycji systemowej (wykorzystanie pre-
boot authorization – uwierzytelnienie użytkownika
przed startem systemu operacyjnego),
Rysunek 5. Standardowa architektura rozwiązania DLP.
Źródło: www.controlguard.com.
Rysunek 6. Przykład ekranu powitalnego w rozwiązaniu do
szyfrowania.
• szyfrowanie całej partycji lub pamięci przenośnej,
• możliwość tworzenia wirtualnych kontenerów – pli-
ków mieszczących w sobie zaszyfrowany dysk (za-
chowujący się jak normalna partycja).
W momencie, gdy poszukujemy narzędzia szyfru-
jącego, które mamy wdrożyć w większej organiza-
cji, jednym z najważniejszych kryteriów powinna być
obecność konsoli administracyjnej do centralnego za-
rządzania procesami szyfrowania i deszyfrowania
komputerów. Administrator ma wówczas możliwość
importu komputerów i użytkowników znajdujących się
w sieci organizacji, najlepiej, gdy istnieje możliwość
integracji z usługami katalogowymi takimi jak: Active
Directory, LDAP czy Novell eDirectory.
Oprócz możliwości zarządzania szyfrowaniem na po-
szczególnych komputerach,
z poziomu konsoli możemy przy-
pisywać użytkowników do kon-
kretnych komputerów, a w ra-
zie potrzeby administrator może
zdalnie zresetować hasło użyt-
kownikowi, który go zapomniał.
Istotne jest także tworze-
nie dysków ratunkowych, które
umożliwią odzyskanie danych
w momencie awarii sprzętowej
komputera lub systemu opera-
cyjnego. W momencie podłą-
czenia dysku twardego do in-
nego komputera, możliwe jest
skopiowanie wszystkich da-
nych i ich odszyfrowanie.
Przed podjęciem decyzji o za-
kupie konkretnego rozwiązania
warto także sprawdzić szyb-
kość szyfrowania i jego wpływ
na wydajność komputera.

www.hakin9.org 41
 BEZPIECZNA FIRMA

Unknown nieznane

Security naruszenie

Breach bezpieczeństwa
Rysunek 7. Rozwinięcie skrótu USB w kontekście bezpieczeństwa.

Bezpieczne pamięci USB – które rozwiązanie

wybrać?
Pamięci USB są najpopularniejszym nośnikiem prze-
znaczonym do zapisywania i przenoszenia danych.
Firma analityczna Gartner szacuje, że w 2008 r. na
całym świecie sprzedano 150 mln sztuk takich pamię-
ci. Niestety zdecydowana większość pamięci przeno-
śnych pozostaje niezabezpieczona, zagrażając inte-
gralności i poufności danych na nich przechowywa-
nych.
Najprostszym rozwiązaniem powyższych problemów
staje się szyfrowanie danych. Czy jednak stanowi ono
panaceum na wszystkie zagrożenia dotyczące używa-
nia przenośnych pamięci USB?
Mówiąc o procesie szyfrowania możemy wyróżnić
szyfrowanie programowe i sprzętowe. W przypadku te-
go pierwszego, musimy mieć świadomość, że nie jest to
jednak rozwiązanie idealne. Dostęp do zaszyfrowanych
zasobów chroniony jest za pomocą hasła definiowane-
Rysunek 8. Przykłady szyfrowanych pamięci USB dostępnych na
rynku.
go przez użytkownika. Zatem mimo wykorzystania na-
wet najbardziej zaawansowanych algorytmów szyfro-
wania, nasze dane są zabezpieczone tylko tak mocno,
jak silne jest hasło dostępu. Według statystyk haker po-
trzebuje pół godziny na złamanie 6-znakowego hasła
na domowym komputerze klasy PC.
Aby w pełni wykorzystać możliwości szyfrowania al-
gorytmu AES-256, należałoby w praktyce zastosować
dłuższe hasło (klucz), na przykład składające się z kil-
kudziesięciu znaków, co praktycznie wyklucza możli-
wość zastosowania w codziennym użyciu, użytkownik
nie jest bowiem w stanie pamiętać i korzystać z tak dłu-
giego hasła.
Kolejną wadą szyfrowania programowego jest moż-
liwość przekopiowania zaszyfrowanych plików i próby

Tabela 1. Akty prawne dotyczące bezpieczeństwa informacji w Polsce, Unii Europejskiej i Stanach Zjednoczonych

Polska Adres WWW

Ustawa o ochronie danych osobowych. http://tnij.org/gvb2
Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych. http://tnij.org/gvb3
Rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa http://tnij.org/gvb5
teleinformatycznego.
Ustawa o ochronie informacji niejawnych. http://tnij.org/gvb6
Ustawa o świadczeniu usług drogą elektroniczną. http://tnij.org/gvb7
Rozporządzenie Rady Ministrów w sprawie sposobu tworzenia, utrwalania, przekazywania, http://tnij.org/gvca
przechowywania i zabezpieczania dokumentów związanych z czynnościami bankowymi, spo-
rządzanych na elektronicznych nośnikach informacji.
Unia Europejska Adres WWW
Directive on privacy and electronic communications. http://tnij.org/gvcc
Regulation on the protection of individuals with regard to the processing of personal data by http://tnij.org/gvce
the Community institutions and bodies and on the free movement of such data.
Recommendation for the protection of privacy on the Internet. http://tnij.org/gvcf
USA Adres WWW
Sarbanes–Oxley Act (SOX). http://tnij.org/gvch
The Gramm-Leach-Bliley Act (GLBA). http://tnij.org/gvcm
Health Insurance Portability and Accountability Act (HIPAA). http://tnij.org/gvcn
Payment Card Industry Data Security Standard (PCI DSS). http://tnij.org/gvco

42 7/2010
 Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
złamania hasła na przykład na domowym komputerze,
bez wiedzy użytkownika, do którego należą dane.
Szyfrowanie programowe wykorzystuje dostępne za-
soby sprzętowe komputera, jest zatem wolniejsze niż
szyfrowanie sprzętowe, które wykorzystuje własny pro-
cesor kryptograficzny.
Nawet jeśli haker nie złamie zabezpieczeń chronią-
cych dane, może je skutecznie usunąć z pamięci.
Z pomocą przychodzi szyfrowanie sprzętowe i klucz
generowany przez procesor kryptograficzny. Wówczas
ochrona naszych danych jest tak silna jak sam algorytm
szyfrujący.
Producenci już od kilku lat implementują szyfrowa-
nie sprzętowe w pamięciach przenośnych USB. Pa-
mięci takie wykorzystują automatyczne szyfrowanie
sprzętowe AES-256. Po włożeniu do portu USB i wpi-
saniu hasła użytkownika, pracują jak zwykłe pendrivy,
nie jest wymagana instalacja żadnego oprogramowania
na komputerze. Dane zapisane na takich nośnikach są
zawsze bezpieczne, użytkownik nie może bowiem wy-
łączyć szyfrowania.
Czy szyfrowane pamięci USB są tak
bezpieczne, jak twierdzą ich producenci?
Obecnie na rynku dostępnych jest kilka modeli szyfro-
wanych sprzętowo pamięci USB m.in. Kingston, San-
disk, Verbatim, SafeStick. Dane są szyfrowane przez
procesor kryptograficzny, zaś wykorzystany algorytm
to AES z 256-bitowym kluczem. Wszystkie wymienio-
ne powyżej pamięci USB charakteryzuje podobna za-
sada działania: po podłączeniu do portu USB, wykry-
wana jest niezaszyfrowana partycja widoczna jako na-
pęd CD-ROM, zawierająca aplikację pytającą o hasło
użytkownika. Po podaniu prawidłowego hasła użyt-
Rysunek 9. Resetowanie zapomnianego hasła z poziomu konsoli zarządzającej.
Źródło: Opracowanie własne.
www.hakin9.org
kownik otrzymuje dostęp do drugiej zaszyfrowanej
partycji.
Dotychczas pamięci USB szyfrowane sprzętowo by-
ły uznawane za jedne z najbezpieczniejszych nośników
do przenoszenia i przechowywania informacji. Świad-
czy o tym m.in. przyznanie wyżej wymienionym pamię-
ciom certyfikatu FIPS-142, który umożliwia ich wykorzy-
stanie przez agendy rządowe w USA. Jednak niedaw-
no przeprowadzona analiza oprogramowania odpowie-
dzialnego za wprowadzenie hasła do pamięci USB, wy-
konana przez niemiecką firmę SySS, podważyła ich
bezpieczeństwo.
Zbadano jak przebiega proces uwierzytelnienia
w pamięciach Sandisk, Kingston i Verbatim. Okazało
się, że po wprowadzeniu przez użytkownika popraw-
nego hasła, aplikacja wysyła do nośnika ciąg bajtów
potwierdzających, że hasło jest prawidłowe. Ciąg ten
pozostaje taki sam niezależnie od aktualnego hasła.
Eksperci z firmy Syss napisali prosty program, który
przechwycił ten ciąg bajtów, a następnie wysyłał go
bezpośrednio do pamięci, pozwalając na łatwy dostęp
do zapisanych danych.
Reakcje producentów pamięci były różne, firma
Kingston wezwała użytkowników do przesłania wadli-
wych nośników do serwisów technicznych w celu ak-
tualizacji firmware’u, zaś Sandisk i Verbatim opubliko-
wały na swoich stronach internetowych specjalne biu-
letyny bezpieczeństwa, zawierające informacje o po-
tencjalnej luce w oprogramowaniu i program do jego
aktualizacji.
Podsumowując powyższe rozważania, warto zadać
pytanie: jaki sens ma sprzętowe szyfrowanie danych,
jeśli wykorzystywane jest programowe uwierzytelnia-
nie?
43
 BEZPIECZNA FIRMA
Możliwości współczesnych szyfrowanych
sprzętowo pamięci USB
Standardowe mechanizmy zabezpieczeń mogą zostać
uzupełnione automatyczną blokadą nośnika po określo-
nym czasie bezczynności oraz ochroną przed atakiem
słownikowym – po 10 lub 20 nieudanych próbach wpi-
sania hasła dane zapisane na nośniku ulegają trwałe-
mu usunięciu.
Nowym trendem w przypadku przenośnych pamię-
ci USB jest możliwość centralnego zarządzania z po-
ziomu konsoli, która umożliwia proste i szybkie dosto-
sowanie wdrożonego systemu szyfrowanych pamięci
USB do wymagań urzędu np. w zakresie polityk ha-
słowych.
Do tego celu służy konsola zarządzająca, instalowa-
na na serwerze, w pełni integrująca się z Active Directo-
ry. Dostęp do konsoli otrzymujemy poprzez przeglądar-
kę internetową zainstalowaną na dowolnym komputerze,
uwierzytelnionym w Active Directory.
Administrator za pomocą konsoli ustala polityki ha-
słowe (długość i złożoność haseł) oraz posiada moż-
liwość odzyskiwania zapomnianych haseł użytkowni-
ków.
Obecne na rynku konsole do zarządzania szyfrowa-
nymi pamięciami pozwalają m.in. na monitorowanie
każdego logowania i wylogowania użytkowników bez-
piecznych pamięci, a także monitorują wszystkie dane
kopiowane i usuwane z tych pamięci.
Jedną z ciekawszych funkcji jest implementowanie
polityk dotyczących przechowywania danych, np. blo-
kada zapisu określonych typów plików: mp3, exe itp.,
a także zapobieganie uruchamianiu złośliwego kodu:
koni trojańskich, malware itp.
Podsumowanie
Odnosząc się do znanej zasady, że nawet najlepiej za-
bezpieczony system informatyczny jest tak bezpieczny
jak jego najsłabsze ogniwo, organizacje nie mogą zapo-
minać o użytkownikach.
Niezwykle istotnym etapem wdrażania każdego roz-
wiązania związanego z zapewnieniem bezpieczeństwa
informacji są szkolenia, które stanowią gwarancję zro-
zumienia przez użytkowników zagrożeń i potrzeb za-
bezpieczania informacji.
Pozwalają również podnieść ogólną kulturę ochrony
informacji, a w konsekwencji – lepiej przygotować użyt-
kowników do przestrzegania zaleceń i dobrych praktyk
W Sieci
• http://www.infowatch.com/en/
• http://www.scmagazine.com/
• http://www.h-online.com/security/news/item/NIST-certi-
�ed-USB-Flash-drives-with-hardware-encryption-cracked-
895308.html
44
w zakresie zabezpieczania informacji podczas codzien-
nej pracy, a co najważniejsze – pozwalają znacznie
podnieść poziom bezpieczeństwa przetwarzanych da-
nych bez konieczności ponoszenia dodatkowych, czę-
sto dość wysokich kosztów.
Dostosowanie systemów informatycznych polskich
organizacji do standardów i wymogów zapewnienia
bezpieczeństwa informacji to nie tylko realizacja wy-
mogów aktów prawnych, ale również zwiększenie za-
ufania, jakim darzą system informatyczny, a co za tym
idzie całą organizację jej pracownicy, partnerzy oraz
klienci.
Bezpieczeństwo danych przetwarzanych w syste-
mach informatycznych ma także istotne znaczenie dla
jakości świadczonych za pomocą tego systemu usług.
System, który jest bezpieczny, to równocześnie sys-
tem przejrzysty i sprawnie zarządzany – a więc sys-
tem wydajny. Należy przy tym pamiętać, iż zapewnie-
nie bezpieczeństwa przetwarzanych danych, to pro-
ces ciągły, podlegający permanentnej kontroli. Regu-
laminy, procedury oraz środki techniczne składające
się jako całość na pod-
niesienie i utrzymanie
bezpieczeństwa syste-
mu, muszą być na bie-
żąco aktualizowane,
a użytkownicy systemu
muszą być informowa-
ni (np. w formie szko-
leń) o nowych zagroże-
niach i zastosowanych
środkach ochrony, któ-
re ich dotyczą.
PAWEŁ ŚMIGIELSKI
Od kilku lat zajmuje się zagadnieniami związanymi z bezpie-
czeństwem informacji w organizacjach. Absolwent Wydzia-
łu Informatyki na Politechnice Szczecińskiej. Po podjęciu pra-
cy zawodowej w �rmie outsourcingowej poznawał praktycz-
ne aspekty działania zabezpieczeń informatycznych zarówno
sprzętowych, jak i programowych.
Obecnie zajmuje się rozwojem obszaru IT security w ramach
struktury �rmy MWT Solutions, wyszukuje, testuje i wprowa-
dza na polski rynek rozwiązania informatyczne rozpowszech-
nione na świecie, a jeszcze niedostępne w Polsce.
Jednocześnie cały czas stara się zwiększać świadomość zagro-
żeń związanych z utratą danych wśród pracowników polskich
organizacji, wspiera merytorycznie konsultantów ds. sprzedaży
podczas spotkań z klientami oraz występuje jako prelegent na
konferencjach tematycznych związanych z bezpieczeństwem IT.
Prywatnie pasjonat żeglarstwa i tańca towarzyskiego. Kon-
takt z autorem: p.smigielski@mwtsolutions.pl
7/2010
 Na pytania odpowiada Paweł Odor
Na pytania
odpowiada
Paweł Odor
Główny specjalista Kroll
Ontrack w Polsce
Proszę powiedzieć kilka słów o sobie
Z firmą Kroll Ontrack związany jestem od 2003 ro-
ku. Obecnie zajmuję stanowisko głównego specjalisty
Kroll Ontrack w Polsce.
Do moich obowiązków należy między innymi ścisła
współpraca z centralą Kroll Ontrack w USA oraz biura-
mi regionalnymi, w szczególności z oddziałem rosyj-
skim. Koordynacja wdrożenia usług proponowanych
przez Kroll Ontrack dla rynku polskiego oraz odpowie-
dzialność za poziom świadczonych usług w zakresie
sprzedaży i marketingu. W Kroll Ontrack pełnię rów-
nież rolę rzecznika firmy do spraw technologii.
Jak przebiega proces odzyskiwania
danych, czy towarzyszą temu jakieś
ustandaryzowane procedury?
Początkowo, podczas rozmowy telefonicznej klienta
z przedstawicielem pogotowia odzyskiwania danych
Kroll Ontrack, specjaliści zapoznają się z konkretnym
przypadkiem i pomagają dopasować najlepsze roz-
wiązanie w zakresie czasu reakcji i kosztów. Osoba,
która straciła dane może następnie dostarczyć nośnik
do najbliższego punktu Kroll Ontrack, bądź bezpo-
średnio do naszego katowickiego laboratorium. Oczy-
wiście istnieje także opcja przesłania nośnika do labo-
ratorium kurierem.
Po otrzymaniu nośnika nasi eksperci przeprowa-
dzają szczegółową analizę uszkodzenia, co pozwa-
la ocenić stan danych, zakres uszkodzenia oraz sza-
cowany czas ich przywrócenia. Wynikiem ekspertyzy
jest raport Verifile, który pozwala klientowi na zapo-
znanie się ze strukturą plików i danych możliwą do od-
tworzenia jeszcze przed rozpoczęciem procesu odzy-
skiwania danych. Na tym etapie specjaliści Kroll On-
track sporządzają także kalkulację odzyskiwania da-
www.hakin9.org
nych. Komplet informacji przekazywany jest następ-
nie klientowi.
Proces odzyskania danych rozpoczyna się nie-
zwłocznie po otrzymaniu akceptacji wyników eksper-
tyzy.
Następnie specjaliści dokonują odzyskania i na-
prawy struktur logicznych danych, przy użyciu po-
nad 120 różnego rodzaju urządzeń specjalistycznych
oraz szerokiej gamy oprogramowania. Po odzyska-
niu, dane zwracane są klientowi na wybranym przez
niego nośniku (zewnętrzny dysk twardy, CD, DVD,
itd.). Kopia bezpieczeństwa danych jest przetrzymy-
wana przez 30 dni na firmowym serwerze, następnie
bezpowrotnie usuwana, zgodnie z procedurą bezpie-
czeństwa.
W przypadku uszkodzeń logicznych, gdy nośnik nie
jest uszkodzony fizycznie, możliwe jest także zasto-
sowanie unikalnej na skalę światową technologii zdal-
nego odzyskiwania danych – Remote Data Recove-
ry. Jest to najszybsza metoda odzyskiwania danych
pozwalająca na poznanie wyników już w ciągu kilku
godzin. Nasi eksperci przeprowadzają w takich przy-
padkach operacje odzyskiwania danych poprzez bez-
pieczne połączenie internetowe, a skuteczność tego
typu rozwiązań jest identyczna z tą uzyskiwaną w la-
boratorium.
Poproszę o kilka słów na temat systemów
tworzenia kopii zapasowych.
Jest to rzeczywiście bardzo istotna kwestia, często
zaniedbywana przez firmy lub wykonywana czysto
mechanicznie. Praktycznie w ogóle nie jest ona też
wykonywana przez użytkowników indywidualnych.
Niestety większość przedsiębiorstw uważa, że bac-
kup jest ratunkiem przed wszystkimi kłopotami i jest
45
 WYWIAD

wystarczający w kontekście ochrony danych. Mimo ta opiera się na zleceniach dotyczących

tego, błędnego oczywiście podejścia, kopie zapa-
sowe nie są weryfikowane i sprawdzane, co prowa-
dzi zwykle do katastrofy w postaci utraty najważniej-
szych, kluczowych dla danej firmy danych.
Dlatego też niezwykle istotne jest, by politykę bez-
pieczeństwa danych tworzyć we współpracy z eks-
pertami do spraw odzyskiwania danych i informatyki
śledczej, którzy wskażą drogę do stworzenia pełnych,
właściwych procedur.
Co może Pan powiedzieć o weryfikacji
integralności a pozyskiwaniem materiału
dowodowego z dowolnego nośnika danych?
Standardowo stosowaną procedurą jest oczywiście
wykonywanie kopii binarnej wraz z sumą kontrolną
wyliczaną dla odpowiednich porcji danych. Najlepiej
sprawdza się to w przypadku dysków twardych i pa-
mięci typu flash.
Zastosowane metody różnią się dla niektórych
urządzeń, przy wykorzystaniu sprzętu typu PDA i no-
śników, na przykład taśm czy dysków szyfrowanych.
Każda z metod musi jednak zapewniać integralność
i dokumentować operacje przeprowadzane na nośni-
ku.
pozyskania materiału dowodowego – praca
w charakterze biegłego?
Z naszych usług nigdy nie korzystają przypadkowi
użytkownicy. Jeśli chodzi o podział procentowy, 60
procent to usługi dla firm, 30 procent dla sektora pu-
blicznego, natomiast 10 procent to klienci indywidu-
alni.
Do naszego core businessu zdecydowanie zaliczyć
możemy odzyskiwanie danych, które już dawno prze-
stało być jedynie ratowaniem plików znajdujących się
na dyskach. Wciąż w dużej mierze skupiamy się także
na odzyskiwaniu danych z systemów bazodanowych
oraz ratowaniem serwerowni. Jedną z najważniej-
szych usług w ostatnich miesiącach jest także odzy-
skiwanie danych z systemów wirtualnych, gdzie jeden
błąd lub awaria niesie za sobą gorsze konsekwencje
niż w przypadku tradycyjnych rozwiązań.
Naszą drugą najważniejszą usługą jest oczywiście
informatyka śledcza, przy której współpracujemy za-

Jak się ma odzyskiwanie danych do

zachowania tajemnicy zawodowej oraz
przestrzegania przepisów dotyczących
ochrony prywatności potencjalnego
klienta?
W momencie, gdy trafia do nas konkretny przypadek,
w dziale obsługi klienta nadawany jest mu specjalny
numer i to na nim pracują nasi specjaliści. W związku
z tym inżynierowie z naszego laboratorium pracujący
nad przywróceniem informacji nie wiedzą kto jest wła-
ścicielem nośnika. Dodatkowo nasze narzędzia, któ-
re wykorzystujemy w pracy działają na strukturach da-
nych oraz weryfikują ich poprawność przy użyciu od-
powiednich algorytmów. Tym samym nie ma koniecz-
ności poznawania zawartości plików.
Oczywiście w procesie odzyskiwania danych klient
może zażyczyć sobie wykonania podglądu plików,
jednak w tym celu musi on wystosować odpowiednie
pismo. Standardem w Kroll Ontrack jest także to, że
wszyscy nasi pracownicy, którzy mają styczność z da-
nymi klientów mają podpisane odpowiednie klauzule
dotyczące zachowania tajemnicy, wybiegające poza
wymagania kodeksu pracy.
Po zakończeniu procedury dane ze spraw niszczo-
ne są bezpowrotnie przy użyciu naszych bezpiecz-
nych i sprawdzonych technologii.

Czy z usług Kroll Ontrack częściej korzystają

przypadkowi użytkownicy, czy raczej praca

46 7/2010
 Na pytania odpowiada Paweł Odor
równo z organami ścigania, jak i z największymi kor-
poracjami i kancelariami prawnymi w kraju oraz za
granicą. Działania te już od kliku lat prowadzone są na
bardzo szeroką skalę. Niestety, świadomość możliwo-
ści informatyki śledczej wśród polskich firm jest wciąż
zbyt mała. W zdecydowanej większości przypadków
dotyczących informatyki śledczej działamy w imieniu
firm i kancelarii prawnych. Wiele z tych spraw nie tra-
fia na wokandę a ich zakończenie ma inny, niesądo-
wy finał.
W poprzednim roku rozpoczęliśmy wdrażanie na-
szego trzeciego filara – usług zarządzania danymi,
które okazały się wyjątkowo potrzebne na terenie firm
w Europy Zachodniej, a jak okazało się później, tak-
że i w Środkowo – Wschodniej. Dzięki nim możemy
zaoferować firmom pełny pakiet ochrony danych, któ-
rego częścią są między innymi usługi kasowania da-
nych, coraz istotniejsze w kontekście polityki bezpie-
czeństwa danych wdrażanych przez coraz większą
ilość światowych koncernów, lecz także firm z sek-
tora MŚP.
Bit po bicie, czyli słów kilka na temat tzw.
„kopii binarnej”.
Według światowych standardów, podczas proce-
su informatyki śledczej przy pozyskiwaniu materia-
łu do analizy należy wykonać tak zwaną kopię binar-
ną nośnika, na przykład dysku twardego, przy użyciu
odpowiedniego oprogramowania. Może być również
konieczne użycie odpowiedniego sprzętu, tak zwa-
nych blockerów zapisu. Kopia binarna jest metodą
kopiowania danych potocznie nazywaną bit po bicie.
Oznacza to, że dokładnie każdy bit danych, znajdu-
jący się na nośniku źródłowym, zostaje odczytany
z nośnika pierwotnego i zapisany na nośniku doce-
lowym.
Wykonywane są dwie kopie binarne. Pierwsza
z nich na potrzeby dowodowe, gdy zaistnieje koniecz-
ność przedstawienia jej w postępowaniu dowodo-
wym. Na drugiej kopii przeprowadzane są wszelkie-
go rodzaju analizy danych, ewentualnie odzyskiwanie
danych i łamanie haseł.
Czy Pana zdaniem Polacy są świadomi
możliwości, jakie stwarza informatyka
śledcza?
Pomimo rosnącej informatyzacji i dostępności usług
IT, wiedza w zakresie możliwości jakie niesie informa-
tyka śledcza jest wciąż bardzo niska. Regularne ba-
dania pokazują, że około 63 procent firm, które ucier-
piały w wyniku nadużyć biznesowych nie było świado-
mych możliwości wykorzystania dowodów elektronicz-
nych do rozwiązania problemu. Skala problemu jest
duża, szczególnie w kontekście strat, jakie może po-
nieść duża polska firma w wyniku utraty danych. We-
www.hakin9.org
dług naszych szacunków opartych na przypadkach, ja-
kie miały miejsce w Polsce, w ekstremalnych przypad-
kach, straty te mogą wynieść nawet około pół miliona
złotych dziennie. Oczywiście w ekstremalnych przy-
padkach może to oznaczać nawet bankructwo, czego
byliśmy już świadkami.
Na przestrzeni ostatnich kilku lat powstało także
wiele firm, które niesłusznie uzurpują sobie prawo do
mianowania się ekspertami w dziedzinie informatyki
śledczej. W rzeczywistości są to niekiedy pojedyncze
osoby, które nie mają dostępu do odpowiednich tech-
nologii, nie potrafią także zabezpieczyć danych w pra-
widłowy sposób, tak, by były one wartościowym do-
wodem w sądzie. Tym samym wielu polskich przed-
siębiorców, znając podobne przypadki, z powodu bra-
ku zaufania do specjalistów rezygnuje niestety z usług
informatyki śledczej.
Osobnym problemem jest także brak wysoko wy-
kwalifikowanych biegłych sądowych w zakresie in-
formatyki śledczej oraz brak niezależnego podmio-
tu, który przeprowadzałby działania w zakresie wymo-
gów i certyfikacji i wiedzy. Podobnie sytuacja kształtu-
je się w przypadku sędziów, którzy wciąż jeszcze nie
akceptują, bądź nie mają wiedzy o przydatności elek-
tronicznych środków dowodowych. Co prawda prowa-
dzimy wewnętrzne szkolenia z udziałem ekspertów
zagranicznych, jednak wciąż brakuje w Polsce bie-
głych z odpowiednim doświadczeniem, wiedzą oraz
narzędziami.
Czy może Pan przybliżyć
Naszym Czytelnikom cel prowadzonej
przez Państwa akcji Darmowy Dysk.
Kroll Ontrack posiada największą w Europie i jedną
z największych na świecie bazę dysków twardych.
Pomimo tego zdarza się, że trafiają do naszego la-
boratorium nośniki, których nie było dotychczas w na-
szej specyfikacji.
Dlatego też poszukujemy nośników o określonych
parametrach, które wykorzystywane są przy niektó-
rych procesach odzyskiwania danych, bądź do ce-
lów badawczo-rozwojowych. Niektóre z nich, szcze-
gólnie w perspektywie wyjątkowo szybko rozwijającej
się branży IT, mogą wydawać się naprawdę przesta-
rzałe, jednak dla nas mogą być one przydatne. Dlate-
go też osoby, które są w posiadaniu takich nośników
i decydują się nam je przekazać nagradzamy możli-
wością wymiany na nowy, pojemniejszy i zdecydowa-
nie szybszy egzemplarz.
47
 FELIETON
Cyberwojna
Patryk Krawczyński
W
sztormie czarnej komunikacji Internetowej
coraz więcej mówi się o cyberwojnach napę-
dzanych teoriami szpiegowskimi. Mocarstwa
atakują mocarstwa. Giganci atakują gigantów. I z po-
wodzeniem dzień za dniem złowrogie pakiety przeska-
kują na kolejne routery. W cyberprzestrzeni powstało
wiele pojęć, które nie do końca są zawsze dobrze ro-
zumiane przez osoby spoza środowiska. Wzorcowym
przykładem jest prawidłowy wizerunek hackera w me-
diach, o co najmniej trzech odcieniach koloru. Nieste-
ty z białego, szarego i czarnego wiele przekazów jest
wykonywanych w kolorach tęczy.
Pośrednio wynika to z młodego stażu wielu krajów
w świecie IT. Każda kultura wymaga lat, a nawet po-
koleń by dorosnąć do swoich czasów i możliwości.
Podobnie jest w przypadku cyberwojny. Według in-
ternetowego słownika angielsko – polskiego wojna
informacyjna jest synonimem informatycznej sztuki
wojennej, w której używane są informatyczne środ-
ki bojowe. Według Winn Schwartau jednego z czoło-
wych ekspertów ds. bezpieczeństwa teleinformatycz-
nego cyberwojnę można określić jako „elektroniczny
konflikt, w którym informacja jest strategicznym atu-
tem godnym zdobycia lub zniszczenia”. Z kolei Bru-
ce Schneier wspomina, że jest to po prostu „wojna
w cyberprzestrzeni”. Definicja Armii Stanów Zjedno-
czonych uwzględnia sformułowanie, w którym padają
słowa „destrukcyjnych działań lub zagrożeń podjętych
z premedytacją wobec komputerów i/lub sieci z za-
miarem spowodowania szkody lub osiągnięcia ce-
lów ideologicznych (hacktywizm), religijnych, politycz-
nych czy podobnych, a także zastraszenia osób w dą-
żeniu do tych celów.” PC Magazine ewidetnie wyko-
nuje krok w tył porównując termin ten do wojny infor-
macyjnej nazywając ją także cyberterroryzmem, a nie
cyberdziałaniami wojennymi. W ramach takich dzia-
łań podejmowane są czynności siejące spustoszenie
wśród komputerów odpowiedzialnych m.in. za zarzą-
dzanie giełdą, sieciami energetycznymi, kontrolą ru-
chu lotniczego i telekomunikacją. Chociaż termin ten
głównie odnosi się do ataków przeciw państwom wy-
korzystywany jest on również w stosunku do organi-
zacji i ogółu społeczeństwa. Na przykład wpuszcze-
nie do sieci niszczących wirusów może zostać uzna-
ne za informacyjne działania wojenne. Na podstawie
wszystkich tych definicji Ariel Silverstone określił cy-
berwojnę jako akt trwających ataków elektronicznych
48
i represji prowadzonych przez państwa wobec innych
narodowości.
Wojna w rozumieniu prawnym oznacza zerwanie
stosunków pokojowych i dyplomatycznych pomiędzy
co najmniej dwoma państwami i przejście do stosun-
ków wojennych. Mając to na względzie należy sobie
przypomnieć, jak w lipcu 2009 roku Magazyn Reuters
zasugerował cyberwojnę pomiędzy USA i Koreą Po-
łudniową, a Koreą Północną. Trwające kilka dni ata-
ki oparte na technice DDoS (ang. Distributed Denial
of Service) dotknęły 26 stron należących do minister-
stwa bezpieczeństwa wewnętrznego, obrony naro-
dowej i finansów USA. Cztery dni później celem ata-
ków objęto południowokoreańskie strony, w tym rów-
nież ministerstwa obrony. Jak wykazała analiza ata-
ków dokonano za pomocą botnetu liczącego około 60
tysięcy komputerów pracujących pod kontrolą Win-
dows. Większa część komputerów (18 tysięcy) pocho-
dziła z Korei Północnej. Pierwsze podejrzenia padły
na Koreę Północną mimo tego, że Koreańska Komisja
Komunikacji nie potrafiła wykryć sprawców. Według
wcześniej przedstawionych definicji w tego rodzaju in-
cydencie powinno dojść kradzieży strategicznych in-
formacji lub ich blokady. Niestety do przeprowadzenia
ataku wybrano najprostszą z możliwych technik, bez
wkraczania w wyrafinowany hacking. Jedynym zablo-
kowanym serwisem o bardziej kluczowej roli w struk-
turach biznesowej informacji był serwis internetowy
nowojorskiej giełdy. Dlatego najbardziej trafnym okre-
śleniem dla tego incydentu wystarczyło określenie cy-
berataku, niż cyberwojny, która jak wiadomo znacznie
bardziej podnosi wyniki sprzedaży swoim chwytliwym
tytułem. Czy naprawdę technika DDoS na tak ma-
łą skalę może zostać uznana za element informacyj-
nych działań wojennych? Ponieważ tego typu zdarze-
nie można również rozpatrywać w stosunku do ska-
li i jego celów. Publiczne serwisy rządowe, które pod-
legają atakowi mają tylko na celu wprowadzenie naj-
większego rozgłosu dokonanego incydentu. Informa-
cje zawarte na tego rodzaju stronach są dostępne pu-
bliczne i ich zanik nie powoduje większego paraliżu
czy dezinformacji w społeczeństwie ze względu, na
możliwość uzyskania ich za pomocą innego kanału
np. telefonicznego.
Debata pomiędzy, niektórymi ekspertami ds. bez-
pieczeństwa krąży wokół słuszności terminu cyber-
działań wojennych. Jedni uważają, że jest ona tyl-
7/2010
 Cyberwojna
ko metaforą, a drudzy oświadczają, że państwa sta-
ją w dobie realnych zagrożeń pochodzących z te-
go źródła. Prawdą jest, że technologia IT w dzisiej-
szych czasach objawia się obok waluty jako kolejny
instrument władzy. Wynika to z faktu globalnego do-
stępu do informacji, „a kto ma informację rządzi świa-
tem”. Dlaczego, więc nie ma stać się ona powodem
do ataków? Być ich celem i za razem źródłem. Celem
do osiągnięcia. Źródłem do zakłócania jej przepływu.
Wiele narodów posiada bardzo niskie bariery mogą-
ce ochronić przed tego typu atakami. Dlatego Internet
stanowi doskonałe pole walki, które ma w swojej na-
turze wpisaną anonimowość. W 1993 roku John Arqu-
illa oraz David Ronfeldt przewidywali nadejście cza-
sów, w których forma prowadzenia działań wojennych
zostanie sprowadzona do poziomu cyberprzestrzeni.
Gdyby wówczas ludzkość postawiła na rozwój podró-
ży kosmicznych, a nie komunikacji elektronicznej ana-
logicznie pole walk mogłoby się przenieść w inny wy-
miar niż Internet? Wraz z rozwojem samochodów ro-
śnie liczba wypadków samochodowych. Wraz z roz-
wojem informatyzacji krajów rośnie zjawisko wykra-
dania informacji z komputerów. Dziś wojnę prowa-
dzi się na wszystkich możliwych polach. Najbardziej
popularnymi rodzajami wojen są wojny energetyczne
i wojny informacyjne. W wojnach energetycznych po-
konuje się wroga fizycznie w otwartej walce, poprzez
atak fizyczny. W wojnach informacyjnych obezwładnia
się przeciwnika informacją – otumania się działaniami
wywiadu, podszeptem agentury wpływu, propagandą
i manipulacją, a potem bierze się go w poddaństwo.
Ciekawym przypadkiem jest równoległe prowadze-
nie działań zbrojnych i cybernetycznych, jakie mia-
ły miejsce w Gruzji 2008 roku. Dopełnieniem konflik-
tu zbrojnego między Gruzją i Rosją były zmasowa-
ne ataki na gruzińskie strony internetowe. Po rozpo-
częciu działań wojennych, podmieniona została stro-
na prezydenta Gruzji. Następnie ta i wiele innych ofi-
cjalnych gruzińskich stron rządowych, policji, agencji
prasowych, stacji telewizyjnych, a nawet najpopular-
niejsze gruzińskie forum hackerskie, zostały sparali-
żowane atakami DDoS. Różnicą pomiędzy tym przy-
padkiem, a przypadkiem Korei było jawne wypowie-
dzenie działań zbrojnych w rzeczywistości. Wojna zo-
stała świadomie przeniesiona na dwie płaszczyzny,
choć nie ma dowodów, że to rząd rosyjski był jednost-
ką, która zleciła wykonanie zakłóceń teleinformatycz-
nych, o które oskarża się grupę Russian Business Ne-
twork. Ciekawym posunięciem władz gruzińskich by-
ło przeniesienie serwerów zlokalizowanych w Gruzji
do Stanów Zjednoczonych gdzie znalazły azyl. Wraz
z oficjalnym zawieszeniem działań zbrojnych, więk-
szość stron wróciła do normalnego trybu pracy. Bar-
dzo podobnym przypadkiem jest incydent w Estonii.
Kiedy estońskie władze prowadziły przygotowania
www.hakin9.org
do usunięcia pomnika Brązowego Żołnierza z parku
w Tallinie w 2007 roku, miały nastąpić gwałtowne de-
monstracje na ulicach Estończyków pochodzenia ro-
syjskiego. Jednak Hillar Aarelaid, dyrektor estońskie-
go Komputerowego Zespołu Szybkiego Reagowa-
„Nie wiem jaka broń będzie użyta
w trzeciej wojnie światowej,
ale czwarta będzie na kije i kamienie.”
Albert Einstein
nia z doświadczenia wiedział, że „jeśli toczą się walki
na ulicach, będą też walki w Internecie”. Przewidując
to, nie miał jeszcze pojęcia o skali planowanych ata-
ków, które nieomal sparaliżowały całą internetową in-
frastrukturę kraju. Estonia jest już na tyle rozwiniętym
krajem pod względem IT, że dostęp do sieci interne-
towej jest równie ważny jak bieżąca media (np. woda,
prąd, gaz). Internet w tym kraju używany jest do gło-
sowania czy płacenia podatków, a przez telefony ko-
mórkowe można bez problemu zapłacić za zakupy czy
parkowanie. Skala tych przykładów wpasowuje się
w skalę i powagę w jakim można mówić o działaniach
wojennych w wirtualnym świecie. Pod koniec 2009 ro-
ku na zalecenie firmy McAfee został zlecony raport
pt. „Virtual Criminology Report”, w którym zostały za-
warte wypowiedzi ponad dwudziestu czołowych eks-
pertów świata z dziedziny stosunków międzynarodo-
wych, w tym dra Jamie’ego Saundersa, doradcy am-
basady brytyjskiej w Waszyngtonie oraz ekspertów
ds. bezpieczeństwa wcześniej pracujących dla ame-
rykańskiej Agencji Bezpieczeństwa Narodowego (Na-
tional Security Agency ? NSA) i australijskiego Mini-
sterstwa Sprawiedliwości (Attorney-General’s Depart-
ment). Przewiduje on, że „w ciągu najbliższych 20–30
lat cyberataki coraz częściej będą należeć do arse-
nału działań wojennych”, dzięki któremu ma być za-
grożona infrastruktura o znaczeniu krytycznym (m.in.
sieci energetyczne, transportowe, telekomunikacyjne,
systemy finansowe oraz systemy zaopatrzenia). Ak-
tualnie media zbyt pochopnie wydają w nagłówkach
użycie tego terminu, zamieniając każdą cyberpotycz-
kę w silne, potężne, widoczne i odczuwalne uderze-
nia wojenne. Pierwszym paradoksem jest skala opisy-
wanych wydarzeń, a drugim – większość z tych infra-
struktur w wielu krajach nie jest na tyle zinformatyzo-
wana, aby kliknięciem zakręcić wodę w kranie.
PATRYK KRAWACZYŃSKI
Kontakt z autorem: patryk.k@nfsec.pl
49
 ZAKOŃCZENIE

Słowo
kończące
Drodzy Czytelnicy,

To już drugie wydanie hakin9 w nowej postaci.

Mam nadzieję, że tak samo się Państwu spodoba jak pierwsze.

W wydaniu przedstawiamy 5 artykułów oraz ciekawy wywiad.

Jak zwykle zapraszam osoby chętne do współtworzenia naszego pisma w nowej formie.
Jeżeli chcesz napisać ciekawy artykuł lub recenzować produkty to zgłoś się do nas.

Pozdrawiam
Katarzyna Dębek

Aktualne informacje o najbliższym numerze znajdziesz na naszej

stronie www.hakin9.org/pl.

Następny numer dostępny on-line

ostatniego dnia czerwca 2010

50 7/2010