Professional Documents
Culture Documents
pl
Strony rekomendowane
Strony rekomendowane
www.mgibki.wordpress.com www.osdev.pl www.ochronainformacji.pl www.topsec.pl www.hackme.pl
7/2010 (61)
SPIS TREŚCI
NARZEDZIA
6 Obudowa MIDI ATX iBOX Piano 3393
7 StrongRecovery
POCZĄTKI
8 Dysk twardy – budowa i działanie
Artur Skrouba
Niniejszy artykuł jest ogólnym zarysem budowy i działania dzisiejszych dysków twardych. W kilku słowach przybli-
ża nam też problematykę, w jaki sposób obchodzić się z naszym HDD, aby jego żywotność była jak najdłuższa.
OBRONA
14 Scapy
Michał Sajdak
Czy istnieje łatwy sposób na wygenerowanie niemal dowolnych pakietów? Czy można bez większych trudności
zmodyfikować przechwycony pakiet i wysłać go ponownie? Czy nieskomplikowanym zadaniem jest przygotowa-
nie fuzzera protokołu sieciowego?
OCHRONA DANYCH
25 Archiwizacja danych
Aleksander Tadeusz Ćwikliński
Niewielu użytkowników komputerów przywiązuje należytą wagę do archiwizacji plików. Często giną im bezpowrot-
nie bezcenne dokumenty lub zdjęcia, a niewiele trzeba, by temu zapobiec.
PRAKTYKA
30 ELEKTRONICZNI DETEKTYWI W AKCJI
Paweł Odor, Piotr Dembiński
Wiedza i umiejętności informatyków śledczych, także z Polski, pomogły już rozwiązać tysiące spraw sądowych
na całym świecie, w tym tych najpoważniejszych, związanych między innymi z głośnymi przestępstwami gospo-
darczymi, pedofilią bądź kradzieżą poufnych danych. Wciąż jednak działania prowadzone w ramach informatyki
śledczej są niemalże obce nie tylko firmom tracącym przychody przez oszustów komputerowych, ale nawet samej
branży IT.
4 7/2010
HAKIN9 7/2010
SPIS TREŚCI
BEZPIECZNA FIRMA
36 Endpoint Security
Paweł Śmigielski
Zdecydowana większość firm zabezpiecza swoje sieci i komputery przed atakami z zewnątrz, stosuje antywirusy,
firewalle i systemy wykrywania włamań. Jednocześnie zapominamy o zagrożeniach ze strony swoich własnych
pracowników. W artykule poznamy różne rozwiązania chroniące przed wyciekiem i utratą danych ze stacji robo-
czych.
WYWIAD
45 Na pytania odpowiada Paweł Odor, główny specjalista Kroll Ontrack w Polsce
FELIETON
48 Cyberwojna
Patryk Krawaczyński
Kierownik produkcji:
Andrzej Kuca andrzej.kuca@software.com.pl Osoby zainteresowane współpracą prosimy o kontakt:
cooperation@software.com.pl
Adres korespondencyjny:
Software Press Sp. z o.o. SK,
ul. Bokserska 1, 02-682 Warszawa, Polska
tel. +48 22 427 36 91, fax +48 22 224 24 59
www.sdjournal.org cooperation@software.com.pl
www.hakin9.org 5
NARZĘDZIA
Obudowa Producent
iBOX
OCENA «««««
Obudowa Midi ATX iBOX Piano 3393 nie wy- Zasilacz i płytę główną zamontowałem bez problemu,
różnia się niczym specjalnym pod względem ale to nie powinno dziwić, a raczej powinno być normą,
konstrukcyjnym, aczkolwiek posiada cieka- jednak ta obudowa okazała się być bardzo mała i cia-
wy i futurystyczny design. Tak jak opisuje producent sna.
jest drapieżna i dosyć ładnie dobrana kolorystycznie, Niestety z 5 wewnętrznych zatok 3,5” mogę skorzy-
czarny i niebieski naprawdę ciekawie razem wyglądają. stać z maksymalnie 3 zatok. Oczywiście mało kto mon-
Koszt obudowy kształtuje się w granicach 115-160 zł. tuje więcej niż 2 dyski w swoim komputerze, ale jeże-
Dane techniczne: li znajdzie się ktoś taki to zdecydowanie to odradzam,
w moim przypadku karta graficzna blokuje 2 miejsca na
• wymiary (wysokość 412mm / szerokość 185mm / dyski. Wielkość tej obudowy sprawia również problem
głębokość 403mm), przy podłączania kabelków SATA do dysków twardych
• ilość zatok 5,25”: 4 szt., i ładnego ich schowania.
• ilość zatok 3,5”: 7szt. (5 wewnętrznych/ 2 zewnętrzne), Niestety to nie koniec wad tej konstrukcji, na obudo-
• wentylatory: 120 mm podświetlany niebieską diodą wie (po tym jak się ściągnie folie ochronne) bardzo ła-
LED z przodu + miejsce na 80mm wentylator z tyłu two zostają odciski palców, a boki i cała konstrukcja do-
obudowy, syć łatwo się wygina, zaznaczę jednak, że to dotyczy
• obudowa nie posiadała zasilacza w zestawie, wielu obudów w tym przedziale.
• wyprowadzone wyjścia na zewnątrz: 2xUSB, wej- Reasumując, obudowa prezentuje się elegancko i po-
ście i wyjście audio. siada dosyć ciekawy moduł wyświetlacza LCD. Podczas
montażu mocniejszych zestawów komputerowych mogą
Najciekawszym elementem tej obudowy jest wyświe- wystąpić problemy z montażem zbyt dużych i zbyt dużej
tlacz (model wyświetlacza MY320-1LCD) połączony ilości elementów, niestety w takim wypadku trzeba z wy-
z kontrolerem pracy wentylatorów chłodzących zamon- dłużonym czasem przeznaczonym na składanie swoje-
towanych wewnątrz w zależności od aktualnej tempera- go upragnionego PC-ta. I jeszcze jedna uwaga, nie prze-
tury pracy całego komputera. Ponadto wyświetlacz ten stawiajcie jej za często, a jak już to musicie zrobić to naj-
może wskazywać: aktualną godzinę, czas pracy kom- lepiej użyjcie kawałka materiału, aby później nie było po-
putera od momentu włączenia (maksymalny czas to 99 trzeby usuwać śladów waszej interwencji.
godzin i 59 minut), aktualny status pracy dysku (kiedyś
sygnalizowane to było za pomocą pojedynczej diody).
Mnie osobiście najbardziej interesował fakt montażu.
Obudowę tą wykorzystałem przy składaniu mojego naj-
nowszego nabytku. Zestaw, który sobie złożyłem (bez
wdawania się w konkretne modele): płyta główna ATX,
karta graficzna z chipsetem ATI HD 5770, 2 dyski twar-
de SATA, nagrywarka Blue Ray, zasilacz o mocy 600W,
2 moduły po 2GB RAM.
Boki obudowy można ściągnąć bez używania narzę-
dzi jednak już w środku, nie ma mowy o montażu bez
narzędzi, trzeba użyć śrubokręta. Fakt ten jednak nie
dziwi, jeżeli spojrzymy na przedział cenowy obudów na
rynku i raczej jest to standardem.
6 7/2010
Narzędzia
Odzyskiwanie Producent
StrongRecovery
Typ
OCENA «««««
Nie ma chyba bardziej wrażliwej części syste- surowe) – obsługuje większość popularnych forma-
mu komputerowego niż dane. Każdy sprzęt, tów plików BMP, JPG, MP3, DOC, ZIP, RAR, EXE itp.
każdy system jesteśmy w stanie szybko pod- Na pewno mocną stroną programu jest prosty i przej-
mienić, zastąpić itd., z danymi natomiast rzecz ma rzysty interfejs, odzyskiwanie plików nie będzie w tym
się inaczej. W centrach danych, na serwerach firmo- przypadku trudne nawet dla początkującego użyt-
wych i przy komputerach strategicznych, administrato- kownika. Po uruchomieniu wybieramy partycję, którą
rzy zdają sobie sprawę co znaczy odzyskiwanie danych chcemy skanować w celu odnalezienia plików do po-
oraz jak ryzykowny i skomplikowany jest to proces, dla- tencjalnego odzyskania. Odzyskiwanie plików może-
tego też stosowane są różnego rodzaje zabezpieczenia my zawęzić do danego rodzaju plików (np. tylko MP3
przed utratą danych. lub video). Skanowanie jest względnie szybkie, a do-
Wypadałoby tu wymienić przede wszystkim: ko- datkową zaletą jest możliwość zapisania sesji skano-
pie bezpieczeństwa, obrazy systemu, mirroring syste- wania i późniejszego powrotu do niej. Oprogramowa-
mu, różnego typu metody zarządzania dyskami (RA- nie jednak przeznaczone jest dla mało wymagających
ID-y), jednakże nie w każdym przypadku są to rozwią- użytkowników. Odzyskanie zdjęć z karty pamięci, do-
zania skuteczne lub możliwe do zastosowania. Meto- kumentu z pendriva jest proste, łatwe i przyjemne.
dy te chronią głównie przed awariami systemów, co jed- Problemy zaczynają się przy bardziej skomplikowa-
nak jeżeli nie jest możliwe zastosowanie żadnej z po- nych operacjach – program potrafi pracować jedynie
wyższych? W obecnym czasie wykorzystuje się różno- z dyskami logicznymi, co to znaczy? Nie masz party-
rakie nośniki danych – karty SD, pendrivy, dyski przeno- cji, nie ma odzyskiwania. Profesjonalne programy po-
śne, czy chociażby dyski na urządzeniach przenośnych trafią pracować na dyskach fizycznych, a nie tylko lo-
niemające w każdej chwili możliwości wykonania kopii gicznych. Brak także możliwości skanowania oraz od-
bezpieczeństwa – nie zawsze mamy możliwość odpo- zyskiwania plików poprzez sieć znacznie obniża funk-
wiedniego zabezpieczenia danych. cjonalność programu.
Co więc zrobić, żeby odzyskać utracone już dane? Kolejną bolączką niepozwalającą zaklasyfikować
W zasadzie istnieją dwie możliwości uzależnione od go do profesjonalnych narzędzi jest brak możliwości
ważności danych i stopnia zdeterminowania do ich od- pracy na obrazie dysku. Praca na obrazie dysku po-
zyskania. Odzyskiwanie we własnym zakresie za po- zwala mieć pewność, iż nie nadpiszemy żadnych da-
mocą dedykowanego oprogramowania albo skorzysta- nych i nie będziemy ingerować w jego strukturę. Ma
nie z profesjonalnej firmy do odzyskiwania danych (np. to kapitalne znaczenie np. dla informatyki śledczej, je-
Ontrack, Mediarecovery). Na jakie zagrożenia są nara- żeli celem odzyskania danych jest nie tylko fizyczne
żone nośniki danych? Wyróżniamy dwa rodzaje uszko- otrzymanie pliku, ale także potwierdzenie jego obec-
dzeń: logiczne i fizyczne. Fizyczne, pomijając uszko- ności na badanym nośniku. Bardziej wymagających
dzone nośniki przenośne (płyty CD, DVD) są raczej nie użytkowników zniechęci także brak edytora heksade-
do odzyskania bez specjalistycznego laboratorium. Na- cymalnego. Może razić brak opcji wyboru języka, ma-
tomiast uszkodzenia logiczne często udaje się rozwią- ło kiedy spotyka się oprogramowanie polskie, a in-
zać za pomocą oprogramowania dedykowanego. Jed- terfejs dostępny jest tylko w języku angielskim. Sko-
nym z komercyjnych rozwiązań takiego oprogramowa- ro oprogramowanie przeznaczone jest dla mniej za-
nia jest program strongrecovery – spróbujmy się mu awansowanych użytkowników, to w moim przekona-
przyjrzeć bliżej. niu powinna być także polska wersja językowa wraz
Aplikacja pozwala na odzyskiwanie formatów plików z instrukcją.
takich jak FAT12, FAT16, FAT32, NTFS i RAW (tzw.
www.hakin9.org 7
POCZĄTKI
D
la większości z nas twardy dysk jest po prostu kich rozwiązań były bębny magnetyczne (pamięć bębno-
zamkniętym pudełkiem, w którym znajdują się wa). Równocześnie bardzo szybko zaczęto używać po-
nasze dane. Niestety bardzo często brak pod- wszechnie stosowane magnetyczne taśmy magnetofo-
stawowej wiedzy o jego konstrukcji oraz niewłaściwe nowe oraz konstruować pierwsze twarde dyski.
obchodzenie się z nim doprowadza nas do bezpowrot- Dzisiejszy twardy dysk pełni jedną z najważniejszych
nej utraty zawartych na min danych. Dlaczego nie wol- funkcji w komputerach osobistych. Przechowywane są na
no otwierać twardego dysku? Jak działa twardy dysk? nim wszystkie dane użytkowe i konfiguracyjne systemu
Dlaczego należy obchodzić się z nim jak z przysłowio- operacyjnego. Jest także jednym z podstawowych nośni-
wym jajkiem? Dlaczego należy sprawdzać temperaturę ków pamięci masowych umożliwiających przechowywa-
HDD i dbać, aby nie był zakurzony? Na te i na wiele in- nie, edycję i zapis danych operacyjnych użytkownika.
nych pytań postaramy się odpowiedzieć.
Budowa twardego dysku
Rola twardego dysku Dysk twardy (ang. Hard Disk Drive – HDD) jest urządze-
Dzisiejsze dyski twarde znacznie różnią się od pierwszych niem pamięci nieulotnej (stałej), która przechowuje da-
rozwiązań pamięci maszyn przetwarzających dane. ne zakodowane cyfrowo na szybko obracających się ta-
Powstałe w pierwszej połowie XIX wieku karty, a na- lerzach (ang. platers). Talerze są sztywne (stąd w angiel-
stępnie taśmy dziurkowane służyły do obsługi prostych skiej nazwie słowo hard) – do ich produkcji wykorzystuje
maszyn (np. w fabrykach produkcyjnych) wg zakodo- się materiał niemagnetyczny – szkło lub aluminium. Na
wanych na nich bardzo prostych sekwencji. Dopiero nich napylony jest półtwardy ferromagnetyk, który umoż-
pod koniec pierwszej połowy XX wieku, wraz z powsta- liwia sformowanie stabilnych domen magnetycznych
niem podwalin elektronicznych maszyn liczących (opar- i przechowywanie w nich kierunkowo namagnesowa-
tych jeszcze o technologię lampową i elektromagnetycz- nych dipoli magnetycznych. W pierwszych dyskach jako
ne przekaźniki) zaczęto szukać innych rozwiązań umoż- ferromagnetyku używano trójtlenku żelaza; w latach póź-
liwiających bardziej efektywne magazynowanie i prze- niejszych został on zastąpiony przez stop kobaltu.
twarzanie coraz większej ilości danych. W konsekwencji, Cała mechanika jest zamknięta w szczelnej obudo-
prawdziwy przełom przyniósł dopiero rozwój techniki pół- wie, posiadającej filtrowane otwory wentylacyjne, któ-
przewodnikowej – wkrótce potem zaczęto konstruować re odprowadzają część ciepła oraz wyrównują ciśnienie
pierwsze rozwiązania, wykorzystujące ferromagnetycz- wewnątrz dysku. Dyski są zamykane w warunkach ste-
ne właściwości niektórych stopów metali. Jednym z ta- rylnych; nawet odrobina kurzu będącego w powietrzu
8 7/2010
Budowa i żywotność HDD
Rysunek 1. A - talerz dysku (plater); B - piasta silnika dysku; C - głowica dysku; D - ramię pozycjonera dysku; E - serwomechanizm dysku; F -
oś pozycjonera dysku; G - przedwzmacniacz sygnału; H - �ltr wentylacyjny
www.hakin9.org 9
POCZĄTKI
• modern bit serial interfaces – rodzaj interface pra- Osiągnięcie minimalnej prędkości jest niezbędne
cującego w sposób szeregowy. Interfejs w przeci- do wytworzenia się pod końcówkami pozycjonera (tuż
wieństwie do swojego poprzednika przesyła da- przed szczotkami głowic) tzw. poduszki powietrznej,
ne szeregowo. W porównaniu z poprzednikiem nie która unosząc lekko głowice nie dopuszcza do ich fi-
jest to naraz kilkadziesiąt sygnałów, tyko jeden – zycznego kontaktu z wirującym platerem.
ale za to nieporównywalnie szybciej. Najbardziej W następnej kolejności głowice odczytują zamiesz-
znane standardy to FC, SATA czy SAS. czone w SA fabryczne moduły wsadowe zawierające
takie informacje jak nazwa dysku, nr seryjny, fizyczny
Prędkość obrotowa dzisiejszych twardych dysków mie- translator dysku (stworzony w oparciu o fabryczną li-
ści się w przedziale od 4.200 do 15.000 obrotów na mi- stę zawierających błędy sektorów) oraz adaptywne pa-
nutę (ang. Revolutions Per Minute – RPM). Prędkości rametry pracy głowic.
z niższego przedziału stosowane były w starszych mo- Po poprawnym odczycie struktur serwisowych dysk
delach oraz w dyskach stosowanych do urządzeń prze- zgłasza komunikat status ready – w tym momencie zo-
nośnych. Natomiast prędkości od 7.200 wzwyż stosowa- staje on wyświetlony w biosie komputera i jest gotowy
ne są w nowoczesnych dyskach oraz wydajnych rozwią- do pracy – może odczytywać i zapisywać dane.
zaniach serwerowych bądź workstation (SAS, SCSI). Większość dzisiejszych dysków posiada głowice
magneto-rezystywne – odczyt stanu logicznego po-
Jak działa dysk twardy szczególnych domen magnetycznych polega na zmia-
W momencie kiedy włączymy komputer w pierwszej nie rezystancji głowicy odczytującej w zależności od
kolejności pracę zaczyna procesor sygnałowy dys- polaryzacji zawartych w nich dipoli.
ku. Odczytuje on procedury zawarte w biosie dysku, Sam zapis dokonuje się poprzez zmianę natężenia
które uruchamiają silnik HDD. Po osiągnięciu założo- pola magnetycznego (generowanego przez głowicę)
nej prędkości obrotowej platerów uruchomiony zosta- – w dyskach twardych głowica magnesuje ferromagne-
je serwomechanizm pozycjonera, który przesuwa jego tyk, aż do pełnego nasycenia (zmiana kierunku nama-
ramię nad obszar talerza zawierający mikrooprogramo- gnesowania dipoli), wykorzystując właściwości histere-
wanie wewnętrzne samego nośnika. Obszar ten nazy- zy magnetycznej. Po namagnesowaniu domeny i usu-
wa się strefą serwisową dysku (ang. Service Area, po- nięciu pola magnesującego półtwardy ferromagnetyk
tocznie : SA). pozostaje stabilnie namagnesowany.
Rysunek 2. A - procesora sygnałowego - jednostki zarządzającej pracą całego nośnika; B - pamięci ROM - zawierającej oprogramowanie
proceduralne; C - interface sygnałowego - np. ATA, SATA; D - pamięci podręcznej RAM - buforującej zapis i odczyt; E - modułu zasilania oraz
kontroli pracy silnika; F - bloku sterującego serwomechanizmem pozycjonera
10 7/2010
Budowa i żywotność HDD
www.hakin9.org 11
POCZĄTKI
• wybierajmy zawsze zewnętrzne dyski, które leżą, jednostki wyspecjalizowane w odzyskiwaniu danych, jed-
a nie stoją (dotyczy 3.5 calowych) – dyski stojące nocześnie nie mających gruntownej wiedzy oraz warszta-
często ulegają przewróceniu, tu pozwalającego na skuteczne wykonanie takiej usługi.
• nie przesuwajmy i nie podnośmy dysku zewnętrznego I tak, np. światowy średni poziom skuteczności odzyski-
(podczas pracy jest to szczególnie niebezpieczne), wania danych wynosi ok. 76% na 100 zgłoszonych przy-
• ograniczmy do maksimum przypadki przenoszenia padków (źródło: Wikipedia). Jest to spowodowane tym, iż
dysku, sytuacje takie jak nadpisanie utraconych danych, bądź fi-
• dyski 2.5 calowe są w sposób szczególny narażo- zyczne uszkodzenie powierzchni roboczej nośników nie
ne na nawet delikatne naciśnięcia – w takich sytu- należą do wyjątków. Niestety, coraz częściej można spo-
acjach często dochodzi do nieprawidłowego zatrzy- tkać reklamy, które delikatnie mówiąc … naciągają rzeczy-
mania (zarycia się) głowic na wirującym platerze, wistość. Coraz więcej firm ogłasza się jako ta najlepsza,
• przed każdym przenoszeniem dysku należy pomy- przelicytowując się w skuteczności: 95% czy nawet 99%!
śleć o ich stosownym zabezpieczeniu – nie należy Mało tego: na rynku pojawiają się reklamy sugerujące bli-
przenosić luzem dysku bez żadnego zabezpieczenia sko 100% skuteczność (!) w odzyskiwaniu danych czy też
– w razie przypadkowego upadku szansa na utratę mówiące o gwarancji na odzyskanie danych. Jest to oma-
dostępu do danych wynosi sporo ponad 90%, mianie zdesperowanego klienta i świadome wprowadza-
• występowanie anomalii napięciowych jest istną nie go w błąd (powinien się temu przyjrzeć UOKIK). Nie
zmorą, jeżeli chodzi o uszkodzenia elektroniki dys- ma bowiem na świecie firmy potrafiącej odzyskiwać dane
ków twardych. W tego typu sytuacjach elementem z każdego przypadku ich utraty. Często działania te mają
najbardziej zawodnym jest zasilacz komputera – na celu tylko złapanie klienta w celu wyciągnięcia od niego
dlatego zwróćmy uwagę na jego jakość. pieniędzy za usługę sprawdzenia, bądź analizy czy się da
dane odzyskać, a na końcu stwierdzenia Niestety nie uda-
Przestrzeganie powyższych i wielu innych, podstawo- ło się, ale się napracowałem, więc kliencie zapłać!.
wych zasad pozwoli nam wydajnie zwiększyć żywot- Jeszcze większą patologią jest funkcjonowanie tzw. bez-
ność naszych dysków i zminimalizować do minimum płatnej analizy, która jest warunkowa. Z grubsza rzecz bio-
ryzyko wystąpienia awarii. rąc, polega to na tym, że coraz więcej firm oferuje bezpłat-
W tym miejscu należy jednak stwierdzić, że metody ną analizę nośnika pod warunkiem, że po jej przeprowa-
bierne nie zmniejszają szans wystąpienia utraty danych dzeniu klient skorzysta w danej firmie z usługi odzyskania
z przyczyn logicznych (skasowanie danych, format, danych. W przypadku rezygnacji, klient musi pokryć koszty
itp.). Tutaj jedyną metodą jest systematyczność w okre- przeprowadzonej analizy oraz inne ukryte opłaty – w przy-
sowym wykonywaniu kopii zapasowych. Jest to jedyna padku dysków twardych mogą to być kwoty do kilkuset zło-
pewna metoda zabezpieczenia przed utratą danych. tych. I nie byłoby w tym nic złego, gdyby nie fakt, że taka
praktyka przyczyniła się do rozpowszechnienia się pewne-
Podsumowanie go procederu, a mianowicie: coraz częściej nieuczciwe fir-
Mamy nadzieję, że przedstawiony powyżej zarys budowy, my po wykonaniu analizy decydują się na stosowanie cen
działania i warunków pracy twardego dysku pozwoli Czy- zaporowych, np. 12 tysięcy złotych za odzyskanie danych
telnikowi w bardzo ogólnym pojęciu przybliżyć specyfikę z jednego dysku. Jak łatwo przewidzieć – w efekcie klient
urządzenia jakim jest dysk twardy. Wbrew pozorom jest to rezygnuje i z tego tytułu niestety musi zapłacić za wykona-
bardzo skomplikowane urządzenie wymagające szcze- ną analizę. Mało tego – niektóre firmy dodatkowo żądają
gólnej staranności obchodzenia się z nim, nawet w czasie także opłaty za wydanie dysku (nośnika) – ponieważ wy-
codziennej pracy. W przypadku awarii samodzielne próby konały dodatkową pracę wykraczającą poza standardo-
jego naprawy, bądź odzyskania danych wiążą się ogrom- wą analizę wstępną… W tej sytuacji właściciel sprzętu ma
nym ryzykiem związanym z koniecznością posiadania du- związane ręce, ponieważ wcześniej, w momencie przyję-
żej wiedzy i specjalistycznego laboratorium. cia dysku do analizy podpisał stosowne zobowiązanie bez
Niestety, w ostatnim okresie na polskim rynku pojawia dokładnego zapoznania się z nim. Faktycznie – przy takich
się bardzo wiele firm oferujących taką usługę, jednak jej ja- praktykach teoretyczna skuteczność może osiągać pra-
kość pozostawia wiele do życzenia. W całej tej masie firm wie 100% i jeszcze gwarantuje przypływ gotówki w każ-
jest tylko kilka, które dysponują stosowną wiedzą i warsz- dym możliwym przypadku. Prowadząc taką firmę, równie
tatem pozwalającym odzyskać dane we wszystkich moż- dobrze można by nic nie robić – oprócz wystawiania fak-
liwych przypadkach (tzn. tam gdzie fizycznie jest to możli- tur. Wystarczy mieć dobry PR, profesjonalnie wyglądającą
we). Dlatego każdy, kto zechce skorzystać z takiej usługi, stronę WWW czy reprezentacyjną siedzibę.
powinien bardzo starannie dokonywać wyboru firmy, bądź Dlatego pamiętajmy – przed wyborem firmy odzyskują-
osoby, której chcemy powierzyć swoje nośniki w celu od- cej dane powinniśmy gruntownie przeanalizować jej rze-
zyskania danych. Kuriozalne jest to, że na rynku można telność. Ufajmy tylko sprawdzonym firmom, mogącym się
spotkać coraz więcej firm lub osób reklamujących się jako pochwalić wieloletnią praktyką poświadczoną certyfikata-
12 7/2010
Budowa i żywotność HDD
mi i nagrodami (takimi jak medale, nagrody konsumenc- W trakcie rozmowy wstępnej sprawdźmy, czy bezpłatna
kie, poświadczenia dla rzetelnych firm). Także przed od- analiza jest faktycznie bezwarunkowa oraz domagajmy
daniem (lub wysłaniem) nośnika należy zapoznać się się podania widełek cenowych (chodzi o cenę maksymal-
z warunkami, które będziemy musieli pisemnie zaakcep- ną!) za konkretny rodzaj potencjalnego możliwego uszko-
tować (dokładnie czytajmy druki zamówień i regulaminy). dzenia, tak aby uniknąć przykrych niespodzianek.
www.hakin9.org 13
OBRONA
N
a wszystkie powyższe pytania możemy odpo- ls() – wyświetlenie obsługiwanych pakietów
wiedzieć: tak – mając do dyspozycji darmowe Scapy w wersji 2.1.0 obsługuje przeszło 300 rodza-
oprogramowanie scapy. Jedną możliwości ofe- jów pakietów, przy czym pakiet rozumiemy tutaj bardzo
rowanych przez to narzędzie jest generowanie pakie- ogólnie – jako pewien odpowiednio sformatowany zbiór
tów – przy czym, w odróżnieniu od innych znanych ge- danych, który może być przesyłany przez sieć (stosow-
neratorów pakietów (takich jak: sendip, nemesis, netdu- ne formatowanie określa odpowiedni protokół siecio-
de, czy hping), scapy: wy). Na Listingu 1 prezentujemy niewielki fragment li-
sty pakietów zaimplementowanych w scapy, przy czym
• posiada bardzo dużą bazę obsługiwanych protoko- dostępne są dodatkowe pluginy uzupełniające tę listę
łów, (przykład – protokół OSPF).
• jest prosty i szybki w obsłudze,
• zapewnia użytkownikowi wysoką elastyczność pod- ls() – wyświetlenie szczegółów budowy
czas korzystania z oferowanej przez siebie funkcjo- pakietu
nalności, Przed utworzeniem pakietu w scapy warto zapoznać
• jest aktywnie rozwijany, się z jego strukturą (Listing 2).
• oferuje bardzo szerokie możliwości skryptowania, W pierwszej kolumnie podawana jest nazwa każdego
• zapewnia relatywnie proste możliwości implemen- pola, w drugiej jego typ, a w trzeciej – wartość domyśl-
tacji obsługi zupełnie nowego rodzaju pakietów na przy tworzeniu nowego pakietu.
i protokołów (wymagana jest przy tym jednak zna-
jomość języka python). Tworzenie nowego pakietu
W scapy jest to prosta operacja:
Sam autor narzędzia twierdzi, że jest ono w stanie
zastąpić takie aplikacje jak: hping, 85% funkcjonal- >>> p = ICMP()
ności nmap-a, arpspoof, arp-sk, arping, tcpdump, te-
thereal czy p0f. Nie będziemy polemizować z tym Wyświetlenie szczegółów pakietu
twierdzeniem – zaprezentujemy za to praktyczne W przykładzie z Listingu 3 jako domyślny typ ICMP został
przykłady wykorzystania scapy, niech one same bę- ustawiony echo-request (znany z popularnego ping-a).
dą komentarzem do możliwości tego oprogramowa- Jeśli przy budowie pakietu chcielibyśmy podać inny typ,
nia. możemy zrobić to w sposób przedstawiony na Listingu 4.
14 7/2010
Scapy
www.hakin9.org 15
OBRONA
na taką komunikację zareaguje docelowy system. Przy- Listing 1. Typy pakietów dostępne w scapy
kładowo, niepoprawnym pakietem może być pakiet IP
z ustaloną nietypową wartością w polu IP.version. Czę- securitum-t1:~# scapy
sto w ten sposób wykryta może być błędna obsługa da- Welcome to Scapy (2.1.0)
nego pakietu przez docelowy system, co niekiedy koń- >>> ls()
czy się jego kompromitacją (patrz np. pracę Wifi Advan-
ced Fuzzing @ Blackhat EU 07, pokazującą podatno- ARP : ARP
ści umożliwiające wykonanie wrogiego kodu na bez- ASN1_Packet : None
przewodowym punkcie dostępowym z uprawnieniami BOOTP : BOOTP
jądra systemu operacyjnego – potencjalnie nawet bez CookedLinux : cooked linux
konieczności uwierzytelnienia się w urządzeniu access DHCP : DHCP options
point!). Najprostsza postać realizacji fuzzingu w scapy DHCP6 : DHCPv6 Generic Message)
wygląda tak jak na Listingu 17. ...
Odpowiadający takiej komunikacji, zrzut wykonany DNS : DNS
przy pomocy tcpdump-a wygląda z kolei tak jak na Li- DNSQR : DNS Question Record
stingu 18. DNSRR : DNS Resource Record
Analogicznie do przykładu pokazanego na Listingu DUID_EN : DUID - Assigned by Vendor Based on
18, istnieje możliwość ręcznego podstawienia danego Enterprise Number
pola, nie wartością, a funkcją, zwracającą wartość loso- Dot11 : 802.11
wą (Listing 19). Dot11ATIM : 802.11 ATIM
Dot11AssoReq : 802.11 Association Request
Prosty program w pythonie Dot11AssoResp : 802.11 Association Response
Jako ilustrację do możliwości skryptowania z wykorzy- ...
staniem scapy, przedstawiamy szkic bardzo prostego Dot1Q : 802.1Q
skanera portów napisanego w pythonie. Komentarzem Dot3 : 802.3
do skryptu niech będzie sam kod źródłowy, jak na Li- EAP : EAP
stingu 20. EAPOL : EAPOL
Ether : Ethernet
Podsumowanie GPRS : GPRSdummy
Dociekliwych Czytelników zachęcamy do własnego GRE : GRE
eksperymentowania z oprogramowaniem scapy. Mamy ...
nadzieję, że pokazaliśmy moc tego narzędzia, którego IP : IP
rozmaite zastosowania są ograniczone niemal tylko po- IPOption : None
mysłowością użytkownika. IPOption_Address_Extension : IP Option Address
Extension
...
W Sieci
PPP : PPP Link Layer
• http://www.secdev.org/projects/scapy/, PPP_ECP : None
• http://www.dirk-loss.de/scapy-doc/, PPP_ECP_Option : PPP ECP Option
• http://trac.secdev.org/scapy/wiki/OSPF, PPP_ECP_Option_OUI : PPP ECP Option
• http://freshmeat.net/projects/sendip/,
...
• http://nemesis.sourceforge.net/,
• http://netdude.sourceforge.net/, RIP : RIP header
• http://www.hping.org/, RIPEntry : RIP entry
• http://www.blackhat.com/presentations/bh-europe-07/ RTP : RTP
Butti/Presentation/bh-eu-07-Butti.pdf. RadioTap : RadioTap dummy
Radius : Radius
Raw : Raw
MICHAŁ SAJDAK RouterAlert : Router Alert
Dyrektor ds. Rozwoju w �rmie Securi- STP : Spanning Tree Protocol
tum. Prowadzi szkolenia o tematyce SebekHead : Sebek header
związanej z bezpieczeństwem IT oraz TCP : TCP
realizuje testy penetracyjne systemów TCPerror : TCP in ICMP
IT. Posiadacz certy�katu CISSP. TFTP : TFTP opcode
Kontakt z autorem: ...
michal.sajdak@securitum.pl
16 7/2010
Scapy
>>> i.show2()
###[ IP ]###
Listing 4. Stworzenie pakietu ICMP
version= 4L
>>> p = ICMP(type=0) ...
>>> ICMP.type.i2s chksum= 0x7cde
{0: 'echo-reply', 3: 'dest-unreach', 4: 'source- ...
quench', \options\
5: 'redirect', 8: 'echo-request', 9: 'router- ###[ ICMP ]###
advertisement', ...
10: 'router-solicitation', 11: 'time-exceeded', chksum= 0xf7ff
12: 'parameter-problem', 13: 'timestamp-request', >>>
14: 'timestamp-reply', 15: 'information-request',
16: 'information-response', 17: 'address-mask-
request',
Listing 7. Wyświetlenie zmiennych i metod dostępnych w
18: 'address-mask-reply'} danej klasie
>>> p = ICMP(type='information-request')
>>> dir(p)
['__class__', '__contains__', '__delattr__', '__
delitem__', '__dict__', [...]
'add_payload', 'add_underlayer', 'aliastypes',
'answers', 'build', [...]
'show', 'show2', 'show_indent', 'sprintf',
'summary', 'time', [...]
www.hakin9.org 17
OBRONA
>>>
help(p.show2)
Help on method show2 in module scapy.packet:
Listing 9. Podstawowa metoda wysłania pakietu oraz Listing 10. Podstawowa metoda wysłania pakietu oraz
odebrania odpowiedzi – sr1() odebrania odpowiedzi - srp1()
18 7/2010
Scapy
www.hakin9.org 19
OBRONA
20 7/2010
Scapy
www.hakin9.org 21
OBRONA
ihl= 5L
tos= 0x0
len= 84
id= 40889
flags=
frag= 0L
ttl= 0
proto= icmp
chksum= 0x44d5
src= 87.98.189.148
dst= 192.168.0.124
\options\
###[ ICMP ]###
type= echo-reply
code= 0
chksum= 0x25bc
id= 0xa30d
seq= 0x1
###[ Raw ]###
load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\
x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'
securitum-t1:~# scapy
Welcome to Scapy (2.1.0)
>>> packets = rdpcap('out.pcap')
>>> packets.show()
0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0001 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0002 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A / Padding
0003 Ether / IP / UDP / DNS Qry "www.onet.pl."
0004 Ether / IP / UDP / DNS Ans "213.180.146.27"
0005 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0006 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0007 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0008 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0009 Ether / ARP who has 192.168.0.124 says 192.168.0.107 / Padding
0010 Ether / ARP is at 00:0c:29:7f:48:3f says 192.168.0.124
0011 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0012 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0013 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0014 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0015 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0016 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0017 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0018 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0019 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh PA / Raw
22 7/2010
Scapy
www.hakin9.org 23
OBRONA
>>> send(p,loop=1)
................................................................................................................
18:37:00.152656 IP7 (tos 0x8b,CE, ttl 63, id 19269, offset 0, flags [+, rsvd], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#170, length 8
IP5 [|ip]
18:37:00.156424 IP14 (tos 0x99,ECT(1), ttl 128, id 46969, offset 0, flags [+, DF, rsvd], proto ICMP (1), length
28) 192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
18:37:00.159799 IP9 (tos 0x7a,ECT(0), ttl 114, id 53503, offset 0, flags [DF], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#105, length 8
IP5 [|ip]
18:37:00.163474 IP14 (tos 0x18, ttl 163, id 24203, offset 0, flags [+, rsvd], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#61, length 8
IP5 [|ip]
18:37:00.167175 IP5 (tos 0x1,ECT(1), ttl 13, id 59219, offset 0, flags [none], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
...
Listing 19. Ustawienie pola w pakiecie funkcją zwracającą Listing 20. Prosty skaner portów napisany w pythonie, z
wartość losową wykorzystaniem scapy. scapy-scanner.py (uruchomienie:
python scapy-scanner.py)
>>> i = IP()/ICMP()
>>> i[IP].version = RandShort() from scapy.all import *
>>> i.show()
###[ IP ]### # zakres portow do skanowania
version= <RandShort> ports = (1,1024)
ihl= None # cel skanowania
tos= 0x0 dst_ip = '192.168.0.1'
len= None
id= 1 # definicja pakietow
flags= syn_packets = IP(dst=dst_ip)/TCP(flags='S',dport=po
frag= 0 rts)
ttl= 64
proto= icmp # wyslanie pakietow oraz odebranie odpowiedzi
chksum= None answered, uanaswered = sr(syn_packets, verbose=0)
src= 127.0.0.1
dst= 127.0.0.1 # analiza odpowiedzi
\options\ for request, response in answered:
###[ ICMP ]### response_flags = response.sprintf('%TCP.flag
type= echo-request s%')
code= 0 if response_flags == 'SA':
chksum= None print "Port TCP: " +
id= 0x0 str(request.dport) + " otwarty"
seq= 0x0
24 7/2010
Archiwizacja danych
Archiwizacja danych
Aleksander Tadeusz Ćwikliński
A
rchiwizacja (backupy) danych dla większo- Rodzaje backupów
ści użytkowników komputerów osobistych jest Mamy do wyboru różne rodzaje backupów i trybów ich
często zagadnieniem pozostającym na margi- uruchamiania. Wybór zależy między innymi od ilości
nesie. Najczęściej przypominamy sobie o znaczeniu wolnego miejsca na dysku, czasu jaki możemy prze-
zabezpieczenia danych, gdy je utracimy. Celem tego znaczyć na archiwizowanie oraz wymaganej szybko-
artykułu jest próba przełamania barier oraz zachęce- ści do odzyskania danych. W Tabeli 1. wymienione zo-
nie do wykonywania archiwizacji najważniejszych da- stały rodzaje backupów, a w Tabeli 2. przedstawione
nych. Może nadszedł już czas, aby zakupić dysk ze- są różnice pomiędzy nimi.
wnętrzny i przeznaczyć go do tego celu.
Kompromis
Statystyki Przy podejmowaniu decyzji o organizacji procesu ar-
Serwis dotyczący archiwizacji http://www.kabooza.com chiwizacji warto wziąć pod uwagę kilka czynników. Na-
podaje wyniki ankiety wśród użytkowników kompute- leży więc:
rów osobistych w zakresie archiwizacji.
Na pytanie jak często archiwizują oni dane na kom- • ocenić, które dane są krytyczne i wymagają ar-
puterach większość (54%) odpowiada, że nigdy. Spo- chiwizacji (archiwizowanie wszystkiego może być
śród archiwizujących dane 18% robi to codziennie. Aż zbyt kosztowne),
13% osób nie wie co to jest backup. • określić ich rozmiar,
Użytkownicy za największe zagrożenie dla kompute- • określić częstotliwość zmian w tych danych,
ra wskazują wirusy komputerowe (54%). Kolejne oba- • sprawdzić posiadane rodzaje nośników do archi-
wy dotyczą możliwości uszkodzenia dysku twardego wizacji (serwer sieciowy, dysk, CD-ROM. DVD-
(31%), kradzieży (5%) oraz uszkodzenia danych spo- ROM, pamięć taśmowa),
wodowanych upadkiem nośnika danych (11%). • oszacować rozmiar wolnej przestrzeni na nośni-
Najbardziej użytkownicy obawiają się utraty wła- kach przeznaczonych do organizacji backupów,
snych zdjęć (71%), własnych dokumentów (16%) oraz • określić akceptowany czas na tworzenie archi-
własnej muzyki (4%). wum,
Większość (66%) osób utraciło ważne zdjęcia lub • określić akceptowalny czas oczekiwania na odtwo-
dokumenty, z czego duża część (42%) utraciła je rzenie pliku z archiwum,
w ciągu ostatniego roku. • zachować zdrowy rozsądek.
www.hakin9.org 25
OCHRONA DANYCH
Nie zawsze takie łatwe ków z archiwum. Opóźnione działanie może spowodo-
W domowych zastosowaniach zdefiniowanie codzien- wać utratę korelacji danych pomiędzy systemami. Je-
nych backupów wydaje się wystarczające. W przy- żeli systemy zapisują dane na tym samym wolumenie
padku jednak, gdy mówimy o działalności gospodar- to korzystne może okazać się oparcie backupów o ca-
czej i klientach utrata danych może nas sporo kosz- ły wolumen niż o pojedyncze pliki.
tować. Złożonym może okazać się wykonywanie backupów
Często występuje potrzeba budowania rozwiązań baz danych, dla których należy zachować ciągłość
umożliwiających odtworzenie danych z dowolnej chwi- działania, bo nie można ich zamknąć, w celach archi-
li (godzina, minuta, sekunda). Aby to było możliwe ko- wizacji. Pomocne są tutaj serwery baz danych dostar-
nieczne jest posiadanie rozwiązania zapewniającego czające mechanizmy śledzenia transakcji wykonanych
archiwizowanie danych w sposób ciągły. Wymaganie od momentu wykonania ostatniego backupu.
zapewnienia ciągłości operacji może nakładać na nas
także konieczność niezwłocznego odzyskania danych Narzędzia
z archiwów. Dostępnych jest wiele narzędzi do wykonywania bac-
W przypadku współdziałania wielu systemów infor- kupów – komercyjnych i darmowych.
matycznych krytyczne staje się jak najszybsze wykry- W Tabeli 3. podano wykaz niektórych darmowych
cie sytuacji, gdy będzie konieczne odtworzenie pli- rozwiązań dostępnych dla głównych trzech systemów
Nazwa Opis
Pełny (full) Polega na archiwizacji wszystkich plików niezależnie od wcześniej robionych archiwizacji. Po utwo-
rzeniu takiego archiwum istnieje później możliwość odtworzenia wszystkich plików bezpośrednio z
tego archiwum.
Różnicowy (differential) Jest uzupełnieniem pełnej archiwizacji. Zapisuje zmiany w plikach, które powstały od momentu wy-
konania ostatniej pełnej archiwizacji. Do odtworzenia pliku wystarczy pełne archiwum i jedno z ar-
chiwów różnicowych w zależności od daty, z której chcemy odzyskać dane.
Przyrostowy (incremental) Jest uzupełnieniem pełnej archiwizacji. Zapisuje zmiany w plikach, które powstały od momentu wy-
konania ostatniej przyrostowej archiwizacji. Do odtworzenia pliku potrzebne jest odwołanie do peł-
nego archiwum oraz tylu archiwów przyrostowych ile zostało utworzonych od daty, z której chcemy
odzyskać dane.
26 7/2010
Archiwizacja danych
operacyjnych komputerów osobistych: Windows, Li- Krok 5. Po zapisaniu ustawień rozpocząć archiwizację.
nux oraz Macintosh. Krok 6. Można także śledzić zaawansowanie procesu.
www.hakin9.org 27
OCHRONA DANYCH
28 7/2010
Archiwizacja danych
Reklama
www.hakin9.org 29
PRAKTYKA
W
edług danych gromadzonych globalnie przez portalach społecznościowych, forach, blogach czy też
światowych pionierów w dziedzinie informaty- w komentarzach sieciowych.
ki śledczej, 43 procent firm na świecie padło
ofiarą nadużyć związanych z użyciem informacji elek- Informatycy śledczy w Polsce i na świecie
tronicznej. Ponad połowa z nich poniosła przy tym nie- W ciągu ostatnich kilkunastu lat dyski twarde (i inne
odwracalne straty finansowe. Średnia wysokość nad- nośniki, takie jak pendrive’y czy telefony komórkowe),
użyć w zakresie przestępczości elektronicznej na świe- stały się pierwszoplanowymi bohaterami spraw, które
cie to aż 1,74 mln $ na firmę, przy czym co trzecie z te- przez tygodnie nie schodziły z pierwszych stron ga-
go typu przestępstw popełnił pracownik firmy, która zet. Dotyczyły one zarówno najważniejszych polityków
ucierpiała na nielegalnych praktykach. Co sprawia, że w Państwie, jak i osób związanych ze środowiskami
tak łatwo firmy i osoby prywatne tracą kluczowe dane? biznesowymi. Wśród pierwszych, jedną z najbardziej
Według informatyków śledczych kluczową rolę od- spektakularnych okazała się sprawa dysku Aleksandry
grywa tutaj kwestia nieświadomego pozostawiania Jakubowskiej, która wyszła na światło dzienne w kon-
przez nas informacji o samych sobie, dzięki otaczają- tekście afery Rywina. Jednym z kluczowych dla śledz-
cym nas z każdej strony technologiom i urządzeniom twa działań było wtedy odzyskanie wiadomości pocz-
gromadzącym wszelkiego rodzaju informacje. Można towej ze sformatowanego dysku Minister Jakubow-
podzielić je na trzy grupy. Do pierwszej z nich zaliczyć skiej, na którym znajdowały się dowody pozwalające
można wszelkie rejestry komputerów i innych maszyn, prokuraturze na ustalenie przebiegu wydarzeń w jed-
które magazynują dane dotyczące czasu pracy, otwie- nym z wątków afery korupcyjnej. Pozostałe przypadki,
ranych programów, odwiedzanych stron internetowych jakie utkwiły w pamięci opinii publicznej dotyczyły m.in.
czy też wysłanych wiadomości mailowych. Do drugiej „utopionego” komputera posła Wassermanna czy słyn-
grupy zaliczyć możemy informacje z różnego rodza- nego „gwoździa” posła Ziobry. Na świecie były to naj-
ju monitoringów, aparatów cyfrowych czy też kamer. większe akcje przeprowadzane m.in. dla FBI i innych
Ostatnią, trzecią grupą są informacje, które użytkow- służb panstwowych. Szczegółowe ich opisy znajdują
nicy pozostawiają samodzielnie i świadomie, np. na się m.in. poniżej, wśród najciekawszych case’ów.
30 7/2010
Informatyka śledcza
www.hakin9.org 31
PRAKTYKA
Elementy procesu
analizy danych
Proces analizy danych jest
stosunkowo złożony i obej-
muje najczęściej pięć sta-
diów. Pierwsze z nich po-
lega na odtwarzaniu istot-
nych zdarzeń z uwzględnie-
niem ich chronologii (wizyty
na stronach internetowych,
komunikacja pocztą elektro-
niczną, zmiany dokumentów,
kasowanie danych, szczegó-
ły penetracji systemu itp.).
Rysunek 1. Spalony aparat z którego odzyskano zdjęcia w laboratorium Kroll Ontrack W drugim stadium poszu-
32 7/2010
Informatyka śledcza
kiwane są dokumenty zawierające słowa kluczowe Zgodnie z wymogami Disaster Recovery Plans spo-
związane ze sprawą, wskazywane najczęściej przez rządzane i przechowywane są kopie zapasowe zaso-
organa śledcze. Trzecie stadium natomiast obejmu- bów gromadzonych na serwerach firmowych. Często
je poszukiwanie kopii istotnych dokumentów oraz ich specjaliści informatyki śledczej stają przed konieczno-
wcześniejszych wersji. Ostatnie dwie części procesu ścią analizy wielu milionów informacji pocztowych nie-
dotyczą sprawdzanie istnienia na nośniku i zaistnienia jednokrotnie pochodzących z różnych serwerów (ich
operacji z wykorzystaniem programów kasujących da- kopii bezpieczeństwa).
ne oraz analizę autentyczności danych oraz znaczni- Najciekawsze przypadki informatyki śledczej rozwią-
ków czasowych. zane przez specjalistów informatyki śledczej w Polsce
i na świecie:
Raport
Wynikiem pracy specjalistów Computer Forensics 1. Sprawa gdańskiej gimnazjalistki
jest szczegółowy raport zawierający informacje o od- Działania związane z informatyką śledczą nie dotyczą
nalezionych danych istotnych dla prowadzonej spra- jedynie danych zamieszczonych na dyskach twardych
wy. Elementem raportu powinno być także osadzenie komputerów, ale również na takich urządzeniach, jak
w czasie kluczowych zdarzeń. pamięci flash, bądź telefony komórkowe.
Jako, że treść raportu musi być ściśle skorelowana W związku ze zwiększającą się liczbą funkcji i pojem-
ze sprawą konieczna jest bliska współpraca specjali- ności telefonów komórkowych, dane z nich pochodzą-
stów w laboratorium z osobami prowadzącymi sprawę. ce mogą stać się cennym źródłem dowodowym, wyko-
Elementem współpracy laboratorium informatyki śled- rzystywanym w informatyce śledczej. Jednym z takich
czej i klienta jest także przedstawianie wyników prac przypadków była udana próba odzyskania filmu zapi-
w sądzie. Informatycy śledczy przywołani przez proku- sanego na telefonie komórkowym jednego z gdańskich
ratora i sądy dla wydania opinii prezentują materiał do- uczniów w roku 2006.
wodowy jako tzw. biegli ad-hoc . Pomimo faktu, że nie Film ten był zapisem napastowania jednej z gimna-
wszystkie sprawy trafiają na wokandę, wszystkie czyn- zjalistek przez grupę jej kolegów, w tym chłopca na-
ności w ramach procesu muszą być prowadzone w ta- grywającego to zdarzenie, podczas lekcji w szkole.
ki sposób, aby wartość dowodowa zgromadzonego Nagranie to zostało następnie opublikowane w Inter-
materiału była niepodważalna. Na świecie tylko około necie, co mogło doprowadzić do samobójczej śmier-
20 procent spraw prowadzonych przez specjalistów in- ci dziewczynki.
formatyki śledczej ma finał w sądzie. Często potrzeb- Po tym zdarzeniu i rozgłosie, jaki został mu nadany
ne są jedynie np. dowody winy pracownika pozwalają- w mediach, chłopcy skasowali film. Telefon został jed-
ce pracodawcy na uszczelnienie systemu dostępu do nak zabezpieczony przez policję, której przedstawicie-
informacji. Jak wspomniano wcześniej jedną z najczę- le w toku postępowania przekazali aparat do analizy
ściej analizowanych kategorii danych w procesie in- specjalistom informatyki śledczej. W laboratorium in-
formatyki śledczej są pliki
poczty elektronicznej i wy-
daje się, że ta kategoria da-
nych nie ustąpi z pierwsze-
go miejsca w ciągu najbliż-
szych lat.
Na każdym z powyższych
etapów istnieje możliwość
wykorzystania danych z wia-
domości e-mail w procesie
dowodowym zmierzającym
do wykrycia „przecieku” in-
formacji, czy to poprzez od-
tworzenie treści podejrzanej
wiadomości, czasu jej wy-
słania czy też innych cech.
Korporacyjne serwery
pocztowe przechowują wia-
domości wszystkich pra-
cowników, którzy korzysta-
ją z poczty elektronicznej. Rysunek 2. Specjaliści Kroll Ontrack podczas odzyskiwania danych w laboratorium
www.hakin9.org 33
PRAKTYKA
formatyki śledczej odzyskano wykasowaną zawartość udziałów był droższy niż łączna kapitalizacja dwóch
telefonu, w tym nagranie z lekcji. Film został wykorzy- najbardziej konkurencyjnych portali.
stany w sprawie. Większościowy udziałowiec wycofał się z podjętego
zobowiązania. Podjęte zostały działania prowadzące
2. Komputer prezesa portalu wp.pl do pogorszenia kondycji finansowej portalu, a w kon-
Sprawa komputera prezesa Wirtualnej Polskiej jest sekwencji do doprowadzenia portalu do upadłości.
przykładem straty jaką poniosła jedna ze stron z po- Mniejszościowi udziałowcy zdecydowali się na zwery-
wodu braku świadomości istnienia usług informatyki fikowanie zawartości komputera przenośnego jedne-
śledczej w Polsce. go z managerów.
Większościowy udziałowiec portalu wp.pl zawarł Komputer zawierający dane, które miały stanowić
porozumienie z posiadaczami udziałów stanowiący- materiał dowodowy w sprawie, zdeponowano u nota-
mi mniejszość, w którym zobowiązał się do odkupie- riusza. Zanim to jednak nastąpiło osoby te otwarły pliki,
nia reszty udziałów po określonym czasie. Cena wy- w których znajdowały się strategiczne dla sprawy infor-
kupienia udziałów miała zależeć bezpośrednio od ilo- macje - materiały mające świadczyć o próbie doprowa-
ści użytkowników portalu. dzenia portalu do upadłości. Niestety otwierając doku-
Po upływie terminu, w którym miało nastąpić odku- ment zmieniono jego atrybuty włącznie z datą utworze-
pienie udziałów okazało się, że mniejszościowy pakiet nia, pozbawiając dokument wartości dowodowej.
W przypadku zlecenia takich działań in-
formatykom śledczym, zabezpieczyliby oni
nośnik, wykonaliby kopię jego zawartości
bez uruchamiania plików oraz umożliwiliby
osobom prowadzącym dochodzenie wgląd
do zawartości plików. W ten sposób war-
tość dowodowa zgromadzonego materiału
zostałaby zachowana.
34 7/2010
Informatyka śledcza
stawili materiał dowodowy w sądzie. Dopiero te działa- dzeń PDA oraz telefonów komórkowych należących do
nia umożliwiły udowodnienie winy pracownika. zespołu. Podjęte przez specjalistów działania dały peł-
ny obraz nieuczciwych działań pracowników i pozwoli-
4. Dysk Aleksandry Jakubowskiej i dyski ły firmie na wyciągnięcie prawnych konsekwencji w sto-
wykradzione z MSZ sunku do zaangażowanych w to działanie osób.
Do końca lat dziewięćdziesiątych świadomość istnie-
nia informatyki śledczej była w Polsce niemalże ze- 6. Dostarczenie elektronicznych środków
rowa. Zmiany nastąpiły dopiero wtedy, gdy działania dowodowych do trzech krajów jednocześnie
związane z informatyką śledczą (ang. computer foren- Eksperci największej firmy zajmującej się informaty-
sics) stały się udziałem głośnych medialnie spraw, jak ką śledczą na świecie otrzymali zlecenie tzw. akwizy-
np. afera Rywina czy wykradzenie dysków z Minister- cji danych polegającej na skopiowaniu informacji elek-
stwa Spraw Zagranicznych. Jednocześnie wydarzenia tronicznych w taki sposób, aby nie straciły one warto-
te pokazały, jak istotna może okazać się praca specja- ści dowodowej (narzędzia wykorzystywane przez in-
listów informatyki śledczej. formatyków śledczych pozwalają na zachowanie tzw.
W roku 2002 rozpoczęło się śledztwo związane sumy kontrolnej. Jej niezmieniona wartość gwarantuje
z tzw. aferą Rywina. Jednym z kluczowych dla śledz- brak ingerencji w zawartość zabezpieczanych plików
twa działań było odzyskanie wiadomości pocztowej ze elektronicznych). Identyczną operację przeprowadzili
sformatowanego dysku Minister Aleksandry Jakubow- w tym samym czasie specjaliści informatyki śledczej
skiej. Znajdowały się na nim dowody pozwalające pro- z tej samej firmy w Niemczech i we Francji. Zlecenio-
kuraturze na ustalenie przebiegu wydarzeń w jednym dawcą był zarząd francuskiej firmy farmaceutycznej.
z wątków afery korupcyjnej. Powodem do zatrudnienia „elektronicznych detekty-
Drugim wydarzeniem, które zwróciło uwagę opinii wów” było podejrzenie o malwersacje finansowe zarzą-
publicznej na tematykę Computer Forensics było wy- du polskiego oddziału firmy, którego członkowie otwo-
kradzenie dysków z Ministerstwa Spraw Zagranicz- rzyli firmę pośredniczącą w zakupach dla koncernu
nych. Brak zabezpieczenia zużytych nośników i mo- oferując towary po cenach nierynkowych i powodując
nitorowania dostępności do nich mógł, w najgorszym w ten sposób powstanie wymiernych strat dla firmy.
wypadku, doprowadzić do pogorszenia stosunków Operacja zebrania materiałów dowodowych prze-
międzynarodowych między Polską a innymi krajami. prowadzana w każdym z trzech krajów tej samej no-
cy odbyła się w obecności prawnika, notariusza i służ-
5. Nieuczciwi pracownicy by ochrony mienia. Informatycy śledczy skopiowa-
Coraz powszechniejszy staje się ostatnio problem nie- li dane z każdego komputera w firmie oraz z urządzeń
uczciwych pracowników. Do najliczniejszych przypad- służących do archiwizacji danych firmowych. Każde
ków, którymi zajmują się elektroniczni detektywi nale- z miejsc pracy zostało sfotografowane.
ży m.in. kradzież danych przez nieuczciwych pracow- Dane z Niemiec i Polski trafiły następnie do Francji.
ników. Podobnie jak dane z siedziby głównej koncernu, zo-
Przykładem takiej sytuacji jest jedna z firm informa- stały poddane analizie. Wynikało z niej, że przypusz-
tycznych, zajmująca się tworzeniem i wdrożeniami czenie działania na szkodę koncernu przez zarząd
aplikacji biznesowych. Zespół zatrudniony do obsługi polskiego oddziału firmy jest prawdziwe.
jednego z klientów firmy postanowił przejąć propono- Po analizie wyników analizy zarząd francuskiego
wane przez firmę rozwiązania (zespół przygotowywał koncernu zdecydował się na zmianę całego personelu
się do kradzieży kodu źródłowego informacji) i sprze- polskiego oddziału (zarządu i pracowników). Nie wia-
dać je poza nią, po uprzednim zwolnieniu się poszcze- domo, czy członkom zarządu wytoczono procesy.
gólnych osób z pracy. Ustalono nawet osobną pulę
pieniędzy, która miała być przeznaczona na ewentual- 7. Kradzież i wykorzystanie danych przez
ną karę nałożoną przez pracodawcę. Propozycję, któ- konkurencję
ra miała być tańsza od oryginalnej, złożył jeden z han- Udostępnianie danych osobom, które przeprowadzają
dlowców, będący w bezpośrednim kontakcie z klien- dla danej firmy określone projekty może niekiedy oka-
tem. W wyniku tego klient postanowił zerwać umowę zać się niezwykle ryzykowne. Doświadczyło tego jed-
z firmą i skorzystać z tańszej oferty złożonej przez nie- no z największych biur projektowych, które na potrzeby
uczciwych pracowników. realizacji jednego ze zleceń postanowiło podjąć współ-
Zaniepokojony takim postępowaniem klienta zarząd pracę z inną firmą. Miała ona wesprzeć działania biura
firmy postanowił przeanalizować zaistniałą sytuację i wraz z jego pracownikami utworzyć zespół zajmujący
i w wyniku własnych ustaleń dotyczących handlowca się projektem przez następne czternaście miesięcy.
zdecydował się na dalsze kroki – zlecenie firmie zajmu- Powołany zespół pracował w siedzibie biura projek-
jącej się informatyką śledczą analizy komputerów, urzą- towego (zleceniodawcy). Dzięki temu pracownicy fir-
www.hakin9.org 35
PRAKTYKA
my wspomagającej biuro mieli potencjalną szansę na Podczas przesłuchań trzy zatrzymane osoby posłu-
bezprawny dostęp do wszelkich danych znajdujących gujące się sfałszowanymi dokumentami przyznały się
się na komputerach ich zleceniodawcy. do winy. Jednocześnie w czasie przesłuchań okaza-
W trakcie realizacji projektu pracownicy biura przy- ło się, że współpracował z nimi informatyk, który przy-
padkowo odkryli, iż na rynku pojawiły się produkty ba- gotowywał w wersji elektronicznej kopie dokumentów
zujące na rozwiązaniach technologicznych stworzo- tożsamości, zaświadczeń o zatrudnieniu i pieczątek.
nych przez nich samych. W tej sytuacji, obawiając się Po tym zeznaniu prokuratura wydała nakaz areszto-
przecieku, przeprowadzono analizę komputerów pra- wania podejrzanego o fałszerstwo oraz nakazała zare-
cowników, serwerów danych oraz przesyłanych do- kwirowanie sprzętu komputerowego z użyciem które-
kumentów. Pozwoliło to na ustalenie źródła przecie- go dokonywano fałszerstw.
ku, którym okazał się zespół projektowy, a dokładnie Na porę zatrzymania podejrzanego wybrano wie-
jeden z pracowników firmy zatrudnionej przez biuro. czór. W czasie interwencji funkcjonariuszy fałszerz
Ustalono, że kilkakrotnie włamywał się on na serwe- dokumentów próbował zniszczyć komputer uderzając
ry, gdzie przechowywane były dane pochodzące z in- nim o ziemię. Jego działania odniosły skutek ponieważ
nych projektów, po czym przesyłał je na serwery swej dysk twardy, który znajdował się w jego laptopie uległ
macierzystej firmy. uszkodzeniu fizycznemu – jego elementy mechanicz-
Odkrycie tych działań nie byłoby możliwe bez szcze- ne zostały uszkodzone.
gółowej analizy komputerów biura projektowego, do- W takim przypadku jedynym możliwym sposobem
konanej przez specjalistów i poprawnego zabezpie- odzyskania danych jest otwarcie nośnika w labora-
czenia elektronicznych środków dowodowych, które toryjnych warunkach oraz wykorzystanie technolo-
mogły być użyte w sądzie. Zarazem przypadek ten po- gii umożliwiającej odtworzenie danych bezpośrednio
kazuje, jak istotne jest zabezpieczenie danych firmy, z otwartego nośnika.
których wykorzystanie może być w przyszłości przy- W przypadku fałszerza informatycy śledczy odzyskali
czyną jej poważnych problemów. 74 pliki zawierające wzorce spreparowanych dokumen-
tów. Informacje te posłużyły jako materiał dowodowy
8. Komputer wyrzucony z okna w prowadzonym przez prokuraturę dochodzeniu.
Dane z odzysku mogą być i bywają dowodami prze-
stępstw. Osoby, które łamią prawo pilnie strzegą infor- 10. Była pracownica oskarżona o
macji mogących je pogrążyć. przyczynienie się do upadku firmy
Ponieważ wiele takich danych jest archiwizowanych Pracownica jednej z katowickich firm założyła podczas
na komputerach (często przenośnych) jedną z metod trwania stosunku pracy własną firmę. Bankrutujący
oskarżenia przestępcy jest zgromadzenie elektronicz- pracodawca obwinił ją o problemy swojej firmy, które
nych dowodów łamania prawa, czyli danych zapisa- miały być spowodowane tym, iż pracownica w czasie
nych w formie elektronicznej. pracy wykonywała czynności związane z jej prywatną
Przestępcy najczęściej korzystają z komputerów firmą zaniedbując obowiązki służbowe.
przenośnych. Pozwala im to na ciągły nadzór nad Pracownica twierdziła, że wszystkie czynności zwią-
ważnymi danymi. zane ze swoją firmą wykonywała po pracy. Jako do-
W razie potrzeby jest też łatwiej pozbyć się note- wód zleciła analizę operacji wykonywanych z użyciem
book’a niż setek lub tysięcy kartek papieru. Tak przy- komputera „elektronicznym detektywom” – informaty-
najmniej sądził ścigany przez policję przestępca, księ- kom śledczym, którzy przeanalizowali dane znajdujące
gowy jednej z dużych grup przestępczych. Uciekając się w komputerze pracownicy. Okazało się, że kobieta
po schodach budynku, dotarł na dach i zrzucił z niego wykonywała wszystkie czynności związane z prowa-
komputer przenośny z obciążającymi go danymi. dzeniem własnej firmy po godzinach pracy. Pracodaw-
Ponieważ informacje te mogły być decydujące ca odstąpił od skierowania sprawy do sądu.###
w śledztwie do odzyskania danych zatrudniono fir-
mę specjalizującą się w informatyce śledczej. Cały PIOTR DEMBIŃSKI
komputer po upadku był mocno zniszczony. Jednak Imago PR
z uszkodzonego dysku udało się odzyskać ok. 7 proc. tel. (032) 608 29 85
danych. Taka ilość informacji wystarczyła do obciąże- gsm. 693 285 916
nia podejrzanego. email: p.dembinski@imagopr.pl
36 7/2010
Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
Endpoint Security
Paweł Śmigielski
„System bezpieczeństwa jest tak silny jak jego wszechnej informatyzacji zdecydowana większość da-
najsłabsze ogniwo – człowiek.” nych istnieje w postaci cyfrowej. Powoduje to znacznie
Kevin Mitnick większą dostępność informacji dla naszych klientów,
partnerów oraz organów administracji publicznej. Jed-
B
adania przeprowadzone wśród osób odpowie- nocześnie stanowi poważne zagrożenie dla funkcjono-
dzialnych za zapewnienie bezpieczeństwa infor- wania firmy i prywatności kontrahentów.
macji wskazują, że ponad 50% ataków i naruszeń Rozumiejąc wagę posiadanych danych, organizacje
bezpieczeństwa w firmach pochodzi z wnętrza organizacji. podejmują kroki w celu ochrony przed ich utratą. Jednym
Jednak wciąż panuje tendencja do zabezpieczania firmo- z wyzwań, które obecnie stoją przed działami IT staje się
wej sieci tylko przed atakami lub nieautoryzowanym do- zapewnienie bezpieczeństwa danych przechowywanych
stępem z zewnątrz. Firmy wykorzystują coraz bardziej zło- w swoich systemach informatycznych, a także umożli-
żone zapory ogniowe, systemy wykrywania włamań i in- wienie bezpiecznego przepływu i wymiany informacji.
truzów, konfigurują serwery proxy, zabezpieczają fizyczny Jest to podyktowane nie tylko dbaniem o wizerunek fir-
dostęp, zarówno do serwerowni, jak i pomieszczeń, gdzie my, ale również wymaganiami, które są nakładane na or-
znajdują się komputery. Zapominają jednocześnie o za- ganizacje przez liczne akty prawne oraz normy i regu-
grożeniach i ryzyku utraty danych związanym ze swoimi lacje branżowe specyficzne np. dla banków, towarzystw
pracownikami, znajdującymi się wewnątrz firmowej sie- ubezpieczeniowych lub organów służby zdrowia.
ci. Czy możliwe jest zapewnienie całkowitej ochrony da-
nych przechowywanych w organizacji i zabezpieczenie Zgodność z wymaganiami prawa
ich przed nieuczciwymi zamiarami pracowników? Organizacje, jako administratorzy danych w postaci
Czy współczesne rozwiązania techniczne mogą za- elektronicznej zobowiązane są do stosowania i prze-
pewnić kompletne bezpieczeństwo danych tworzonych, strzegania szeregu uregulowań prawnych dotyczących
przechowywanych i modyfikowanych w systemach in- zabezpieczania informacji.
formatycznych? W Polsce głównym aktem prawnym, który dotyczy in-
formacji przetwarzanych w administracji publicznej jest
Olbrzymia ilość danych w systemach ustawa z 29 sierpnia 1997 r. o ochronie danych oso-
informatycznych bowych.
Każda firma przetwarza ogromne ilości informacji zwią- Wg rozdziału piątego ustawy administrator danych
zanych ze swoją codzienną działalnością. W dobie po- w organizacji jest zobowiązany do zapewnienia bez-
www.hakin9.org 37
BEZPIECZNA FIRMA
pieczeństwa przetwarzanych danych osobowych, ze Wciąż najwięcej przypadków utraty informacji wiąże
szczególnym uwzględnieniem ochrony przed nieupo- się z danymi osobowymi, które ze względu na często-
ważnionym dostępem do tych danych. Powinien tak- tliwość występowania łatwiej stracić niż tajemnice han-
że zapewnić środki pozwalające na monitorowanie, kto dlowe lub inne dokumenty firmowe (Rysunek 1).
wprowadza dane osobowe do systemu informatyczne- Przytoczone wyżej statystyki opierają się na global-
go oraz komu są one przekazywane np. za pomocą nych badaniach, ale oczywiście Polska nie różni się
urządzeń teletransmisji danych. zbytnio od innych krajów. W mediach systematycznie,
Kolejnym dokumentem prawnym zawierającym wy- co kilka tygodni pojawiają się informacje o utracie da-
tyczne dotyczące bezpieczeństwa systemów informa- nych przez firmę lub urząd. Rysunek 2 przedstawia kil-
tycznych jest rozporządzenie MSWiA z dnia 29 kwiet- ka najbardziej znanych przypadków wycieku danych
nia 2004 r.w sprawie dokumentacji przetwarzania da- z różnych organizacji.
nych osobowych oraz warunków technicznych i organi- Wśród głównych zagrożeń dla danych możemy wy-
zacyjnych, jakim powinny odpowiadać urządzenia i sys- różnić:
temy informatyczne służące do przetwarzania danych
osobowych. • Utrata urządzeń i nośników przenośnych.
Załącznik A w/w rozporządzenia obliguje użytkowni- • Nieautoryzowany transfer danych na nośniku USB.
ków komputerów przenośnych, które zawierają dane • Brak klasyfikacji informacji (nie wiadomo, które da-
osobowe do stosowania środków ochrony kryptogra- ne są wrażliwe).
ficznej wobec przechowywanych danych. • Kradzież informacji firmowych przez pracowników.
Załącznik B zobowiązuje do zabezpieczenia urzą- • Drukowanie dokumentów zawierających wrażliwe
dzeń i nośników zawierających dane osobowe, w spo- dane.
sób gwarantujący poufność i integralność tych danych.
Załącznik C mówi o zabezpieczeniu, które kontrolu- Endpoint Security, czyli bezpieczeństwo stacji
je przepływ między systemem informatycznym a siecią roboczych
publiczną. Obecnie prawie wszyscy producenci rozwiązań z za-
Innym aktem prawnym bezpośrednio dotyczącym kresu bezpieczeństwa informacji oferują w swojej ofer-
bezpieczeństwa informacji jest rozporządzenie Preze- cie produkt, który zawiera w nazwie endpoint security.
sa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie W dosłownym tłumaczeniu z języka angielskiego ozna-
podstawowych wymagań bezpieczeństwa teleinforma- cza to bezpieczeństwo punktów końcowych, czyli kom-
tycznego. puterów, które są wykorzystywane przez pracowników
Rozdział drugi w/w aktu definiuje podstawowe wy- firmy. W pojęciu tym zawierają się m.in.:
magania bezpieczeństwa teleinformatycznego, wymie-
nia m.in. ochronę kryptograficzną informacji niejawnych • Antywirus.
przetwarzanych w systemie informatycznym zapewnia- • Firewall.
jącą poufność, integralność oraz uwierzytelnienie. • Antyspam.
Oczywiście przytoczyłem tutaj tylko kilka spośród wie- • VPN.
lu różnorodnych aktów prawnych, które definiują wyma-
gania bezpieczeństwa dla danych i systemów informa-
tycznych. Wyżej wymienione uregulowania bezpośred-
nio dotyczą kwestii zabezpieczania urządzeń i nośni-
ków przenośnych oraz ochrony kryptograficznej. Dla
zainteresowanych w Tabeli 1 przedstawiłem rozszerzo-
ną listę aktów prawnych stosowanych w Polsce, Unii
Europejskiej oraz Stanach Zjednoczonych.
38 7/2010
Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
• Kontrola dostępu do sieci (NAC – Network Access że wiele zagrożeń dla przechowywanych przez nas in-
Control). formacji.
• DLP. Badania przeprowadzone przez firmę Cisco dowo-
dzą, że zagrożenia związane z wyciekiem lub kradzie-
W dalszej części artykułu przyjrzymy się bliżej właśnie żą informacji wewnątrz organizacji stają się coraz bar-
temu ostatniemu pojęciu. dziej powszechne i jednocześnie bardziej kosztowne
DLP (z ang. Data Loss Prevention) jest terminem niż zagrożenia ze strony osób z zewnątrz:
z obszaru bezpieczeństwa teleinformatycznego, okre-
śla systemy, które identyfikują, monitorują oraz zabez- • 33% specjalistów IT niepokoi się utratą danych
pieczają: wskutek zgubienia lub kradzieży pamięci USB,
• 39% specjalistów IT bardziej niepokoją zagrożenia
• dane wykorzystywane w organizacji – działania na ze strony pracowników niż hakerów.
stacjach końcowych,
• transfer danych – ruch sieciowy, Z kolei z corocznego raportu (2009) opracowanego
• przechowywane dane – magazynowanie danych, przez organizację InfoWatch, zajmującą się zabezpie-
czaniem informacji, wynika, że 33% wszelkich wycie-
poprzez filtrowanie typów i zawartości plików i możli- ków danych ma związek z używaniem laptopów, pa-
wość centralnego zarządzania. Głównym celem pro- mięci USB, dysków CD i DVD oraz fizycznym dostę-
jektowania systemów DLP jest wykrywanie i ochrona pem do stacji roboczych i serwerów.
przed nieautoryzowanym wykorzystaniem i przesyła- Powszechną strategią zabezpieczania danych należą-
niem poufnych informacji. cych do danej firmy jest przydzielanie praw dostępu do
Mówiąc o rozwiązaniach DLP możemy wyróżnić: szy- dokumentów, w oparciu o przynależność do konkretne-
frowanie dysków twardych i pamięci przenośnych, kon- go działu i zakres obowiązków danego pracownika. Jest
trolę i zarządzanie urządzeniami przenośnymi, znako- to podejście słuszne, stanowi jednak tylko jeden z pod-
wanie plików, ochronę poczty elektronicznej, zarządza- stawowych elementów zabezpieczania informacji.
nie tożsamością i dostępem. Może się bowiem zdarzyć, że ten sam pracownik kie-
Ciekawostka: W zależności od producenta, spotyka- rując się różnymi motywami, będzie chciał skopiować da-
ne są także inne wyrażenia określające DLP: Data Le- ne i wynieść je poza firmę. Z racji pełnionych przez siebie
ak Prevention, Information Leak Detection and Preven- obowiązków będzie miał taką fizyczną możliwość.
tion (ILDP), Information Leak Prevention (ILP), Content Jeden z pierwszych wniosków, który nasuwa się po
Monitoring and Filtering (CMF) i Extrusion Prevention przeczytaniu powyższych informacji, to ustanowienie
System poprzez analogię do Intrusion-Prevention Sys- kontroli nad dokumentami (plikami), do których dostęp
tem (IPS). mają pracownicy. W jaki sposób pogodzić jednak po-
trzebę codziennej pracy z ogromną ilością różnego typu
Monitorowanie przepływu informacji w dokumentów, z potrzebą skutecznego ich zabezpiecze-
firmie – kontrola urządzeń i aplikacji nia? W jaki sposób kontrolować użycie pamięci i urzą-
Zdecydowana większość dokumentów tworzonych dzeń przenośnych służących do przechowywania da-
i edytowanych w dzisiejszych czasach istnieje głównie
w wersjach cyfrowych, zapisanych na dyskach twar-
dych naszych komputerów. W przypadku, gdy doku-
menty przetwarzane są na różnych komputerach w fir-
mie, pojawia się potrzeba ich przenoszenia. Z pomo-
cą przychodzą wszelkiego rodzaju pamięci przenośne,
począwszy od najbardziej powszechnych pamięci USB,
poprzez odtwarzacze multimedialne i karty pamięci wy-
korzystywane w telefonach komórkowych, kończąc na
wciąż popularnych płytach CD i DVD, które umożliwiają
proste i szybkie kopiowanie danych, zarówno w obrębie
firmy, jak i poza nią.
Niska cena i szeroka dostępność powodują, że prak-
tycznie wszyscy pracownicy używają w swojej codzien-
nej pracy w/w urządzeń i nośników.
Musimy mieć jednak świadomość, że prostota uży-
cia i miniaturyzacja dostępnych obecnie pamięci prze-
nośnych, oprócz oczywistej wygody, niosą ze sobą tak- Rysunek 2. Przykłady wycieku danych w Polsce.
www.hakin9.org 39
BEZPIECZNA FIRMA
40 7/2010
Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
www.hakin9.org 41
BEZPIECZNA FIRMA
Unknown nieznane
Security naruszenie
Breach bezpieczeństwa
Rysunek 7. Rozwinięcie skrótu USB w kontekście bezpieczeństwa.
Tabela 1. Akty prawne dotyczące bezpieczeństwa informacji w Polsce, Unii Europejskiej i Stanach Zjednoczonych
42 7/2010
Endpoint Security – czy istnieje kompleksowa ochrona przed wyciekiem i utratą danych?
złamania hasła na przykład na domowym komputerze, kownik otrzymuje dostęp do drugiej zaszyfrowanej
bez wiedzy użytkownika, do którego należą dane. partycji.
Szyfrowanie programowe wykorzystuje dostępne za- Dotychczas pamięci USB szyfrowane sprzętowo by-
soby sprzętowe komputera, jest zatem wolniejsze niż ły uznawane za jedne z najbezpieczniejszych nośników
szyfrowanie sprzętowe, które wykorzystuje własny pro- do przenoszenia i przechowywania informacji. Świad-
cesor kryptograficzny. czy o tym m.in. przyznanie wyżej wymienionym pamię-
Nawet jeśli haker nie złamie zabezpieczeń chronią- ciom certyfikatu FIPS-142, który umożliwia ich wykorzy-
cych dane, może je skutecznie usunąć z pamięci. stanie przez agendy rządowe w USA. Jednak niedaw-
Z pomocą przychodzi szyfrowanie sprzętowe i klucz no przeprowadzona analiza oprogramowania odpowie-
generowany przez procesor kryptograficzny. Wówczas dzialnego za wprowadzenie hasła do pamięci USB, wy-
ochrona naszych danych jest tak silna jak sam algorytm konana przez niemiecką firmę SySS, podważyła ich
szyfrujący. bezpieczeństwo.
Producenci już od kilku lat implementują szyfrowa- Zbadano jak przebiega proces uwierzytelnienia
nie sprzętowe w pamięciach przenośnych USB. Pa- w pamięciach Sandisk, Kingston i Verbatim. Okazało
mięci takie wykorzystują automatyczne szyfrowanie się, że po wprowadzeniu przez użytkownika popraw-
sprzętowe AES-256. Po włożeniu do portu USB i wpi- nego hasła, aplikacja wysyła do nośnika ciąg bajtów
saniu hasła użytkownika, pracują jak zwykłe pendrivy, potwierdzających, że hasło jest prawidłowe. Ciąg ten
nie jest wymagana instalacja żadnego oprogramowania pozostaje taki sam niezależnie od aktualnego hasła.
na komputerze. Dane zapisane na takich nośnikach są Eksperci z firmy Syss napisali prosty program, który
zawsze bezpieczne, użytkownik nie może bowiem wy- przechwycił ten ciąg bajtów, a następnie wysyłał go
łączyć szyfrowania. bezpośrednio do pamięci, pozwalając na łatwy dostęp
do zapisanych danych.
Czy szyfrowane pamięci USB są tak Reakcje producentów pamięci były różne, firma
bezpieczne, jak twierdzą ich producenci? Kingston wezwała użytkowników do przesłania wadli-
Obecnie na rynku dostępnych jest kilka modeli szyfro- wych nośników do serwisów technicznych w celu ak-
wanych sprzętowo pamięci USB m.in. Kingston, San- tualizacji firmware’u, zaś Sandisk i Verbatim opubliko-
disk, Verbatim, SafeStick. Dane są szyfrowane przez wały na swoich stronach internetowych specjalne biu-
procesor kryptograficzny, zaś wykorzystany algorytm letyny bezpieczeństwa, zawierające informacje o po-
to AES z 256-bitowym kluczem. Wszystkie wymienio- tencjalnej luce w oprogramowaniu i program do jego
ne powyżej pamięci USB charakteryzuje podobna za- aktualizacji.
sada działania: po podłączeniu do portu USB, wykry- Podsumowując powyższe rozważania, warto zadać
wana jest niezaszyfrowana partycja widoczna jako na- pytanie: jaki sens ma sprzętowe szyfrowanie danych,
pęd CD-ROM, zawierająca aplikację pytającą o hasło jeśli wykorzystywane jest programowe uwierzytelnia-
użytkownika. Po podaniu prawidłowego hasła użyt- nie?
www.hakin9.org 43
BEZPIECZNA FIRMA
Podsumowanie
Odnosząc się do znanej zasady, że nawet najlepiej za-
bezpieczony system informatyczny jest tak bezpieczny
jak jego najsłabsze ogniwo, organizacje nie mogą zapo- PAWEŁ ŚMIGIELSKI
minać o użytkownikach. Od kilku lat zajmuje się zagadnieniami związanymi z bezpie-
Niezwykle istotnym etapem wdrażania każdego roz- czeństwem informacji w organizacjach. Absolwent Wydzia-
wiązania związanego z zapewnieniem bezpieczeństwa łu Informatyki na Politechnice Szczecińskiej. Po podjęciu pra-
informacji są szkolenia, które stanowią gwarancję zro- cy zawodowej w �rmie outsourcingowej poznawał praktycz-
zumienia przez użytkowników zagrożeń i potrzeb za- ne aspekty działania zabezpieczeń informatycznych zarówno
bezpieczania informacji. sprzętowych, jak i programowych.
Pozwalają również podnieść ogólną kulturę ochrony Obecnie zajmuje się rozwojem obszaru IT security w ramach
informacji, a w konsekwencji – lepiej przygotować użyt- struktury �rmy MWT Solutions, wyszukuje, testuje i wprowa-
kowników do przestrzegania zaleceń i dobrych praktyk dza na polski rynek rozwiązania informatyczne rozpowszech-
nione na świecie, a jeszcze niedostępne w Polsce.
W Sieci Jednocześnie cały czas stara się zwiększać świadomość zagro-
żeń związanych z utratą danych wśród pracowników polskich
• http://www.infowatch.com/en/ organizacji, wspiera merytorycznie konsultantów ds. sprzedaży
• http://www.scmagazine.com/
podczas spotkań z klientami oraz występuje jako prelegent na
• http://www.h-online.com/security/news/item/NIST-certi-
�ed-USB-Flash-drives-with-hardware-encryption-cracked- konferencjach tematycznych związanych z bezpieczeństwem IT.
895308.html Prywatnie pasjonat żeglarstwa i tańca towarzyskiego. Kon-
takt z autorem: p.smigielski@mwtsolutions.pl
44 7/2010
Na pytania odpowiada Paweł Odor
Na pytania
odpowiada
Paweł Odor
Główny specjalista Kroll
Ontrack w Polsce
Proszę powiedzieć kilka słów o sobie nych. Komplet informacji przekazywany jest następ-
Z firmą Kroll Ontrack związany jestem od 2003 ro- nie klientowi.
ku. Obecnie zajmuję stanowisko głównego specjalisty Proces odzyskania danych rozpoczyna się nie-
Kroll Ontrack w Polsce. zwłocznie po otrzymaniu akceptacji wyników eksper-
Do moich obowiązków należy między innymi ścisła tyzy.
współpraca z centralą Kroll Ontrack w USA oraz biura- Następnie specjaliści dokonują odzyskania i na-
mi regionalnymi, w szczególności z oddziałem rosyj- prawy struktur logicznych danych, przy użyciu po-
skim. Koordynacja wdrożenia usług proponowanych nad 120 różnego rodzaju urządzeń specjalistycznych
przez Kroll Ontrack dla rynku polskiego oraz odpowie- oraz szerokiej gamy oprogramowania. Po odzyska-
dzialność za poziom świadczonych usług w zakresie niu, dane zwracane są klientowi na wybranym przez
sprzedaży i marketingu. W Kroll Ontrack pełnię rów- niego nośniku (zewnętrzny dysk twardy, CD, DVD,
nież rolę rzecznika firmy do spraw technologii. itd.). Kopia bezpieczeństwa danych jest przetrzymy-
wana przez 30 dni na firmowym serwerze, następnie
Jak przebiega proces odzyskiwania bezpowrotnie usuwana, zgodnie z procedurą bezpie-
danych, czy towarzyszą temu jakieś czeństwa.
ustandaryzowane procedury? W przypadku uszkodzeń logicznych, gdy nośnik nie
Początkowo, podczas rozmowy telefonicznej klienta jest uszkodzony fizycznie, możliwe jest także zasto-
z przedstawicielem pogotowia odzyskiwania danych sowanie unikalnej na skalę światową technologii zdal-
Kroll Ontrack, specjaliści zapoznają się z konkretnym nego odzyskiwania danych – Remote Data Recove-
przypadkiem i pomagają dopasować najlepsze roz- ry. Jest to najszybsza metoda odzyskiwania danych
wiązanie w zakresie czasu reakcji i kosztów. Osoba, pozwalająca na poznanie wyników już w ciągu kilku
która straciła dane może następnie dostarczyć nośnik godzin. Nasi eksperci przeprowadzają w takich przy-
do najbliższego punktu Kroll Ontrack, bądź bezpo- padkach operacje odzyskiwania danych poprzez bez-
średnio do naszego katowickiego laboratorium. Oczy- pieczne połączenie internetowe, a skuteczność tego
wiście istnieje także opcja przesłania nośnika do labo- typu rozwiązań jest identyczna z tą uzyskiwaną w la-
ratorium kurierem. boratorium.
Po otrzymaniu nośnika nasi eksperci przeprowa-
dzają szczegółową analizę uszkodzenia, co pozwa- Poproszę o kilka słów na temat systemów
la ocenić stan danych, zakres uszkodzenia oraz sza- tworzenia kopii zapasowych.
cowany czas ich przywrócenia. Wynikiem ekspertyzy Jest to rzeczywiście bardzo istotna kwestia, często
jest raport Verifile, który pozwala klientowi na zapo- zaniedbywana przez firmy lub wykonywana czysto
znanie się ze strukturą plików i danych możliwą do od- mechanicznie. Praktycznie w ogóle nie jest ona też
tworzenia jeszcze przed rozpoczęciem procesu odzy- wykonywana przez użytkowników indywidualnych.
skiwania danych. Na tym etapie specjaliści Kroll On- Niestety większość przedsiębiorstw uważa, że bac-
track sporządzają także kalkulację odzyskiwania da- kup jest ratunkiem przed wszystkimi kłopotami i jest
www.hakin9.org 45
WYWIAD
46 7/2010
Na pytania odpowiada Paweł Odor
równo z organami ścigania, jak i z największymi kor- dług naszych szacunków opartych na przypadkach, ja-
poracjami i kancelariami prawnymi w kraju oraz za kie miały miejsce w Polsce, w ekstremalnych przypad-
granicą. Działania te już od kliku lat prowadzone są na kach, straty te mogą wynieść nawet około pół miliona
bardzo szeroką skalę. Niestety, świadomość możliwo- złotych dziennie. Oczywiście w ekstremalnych przy-
ści informatyki śledczej wśród polskich firm jest wciąż padkach może to oznaczać nawet bankructwo, czego
zbyt mała. W zdecydowanej większości przypadków byliśmy już świadkami.
dotyczących informatyki śledczej działamy w imieniu Na przestrzeni ostatnich kilku lat powstało także
firm i kancelarii prawnych. Wiele z tych spraw nie tra- wiele firm, które niesłusznie uzurpują sobie prawo do
fia na wokandę a ich zakończenie ma inny, niesądo- mianowania się ekspertami w dziedzinie informatyki
wy finał. śledczej. W rzeczywistości są to niekiedy pojedyncze
W poprzednim roku rozpoczęliśmy wdrażanie na- osoby, które nie mają dostępu do odpowiednich tech-
szego trzeciego filara – usług zarządzania danymi, nologii, nie potrafią także zabezpieczyć danych w pra-
które okazały się wyjątkowo potrzebne na terenie firm widłowy sposób, tak, by były one wartościowym do-
w Europy Zachodniej, a jak okazało się później, tak- wodem w sądzie. Tym samym wielu polskich przed-
że i w Środkowo – Wschodniej. Dzięki nim możemy siębiorców, znając podobne przypadki, z powodu bra-
zaoferować firmom pełny pakiet ochrony danych, któ- ku zaufania do specjalistów rezygnuje niestety z usług
rego częścią są między innymi usługi kasowania da- informatyki śledczej.
nych, coraz istotniejsze w kontekście polityki bezpie- Osobnym problemem jest także brak wysoko wy-
czeństwa danych wdrażanych przez coraz większą kwalifikowanych biegłych sądowych w zakresie in-
ilość światowych koncernów, lecz także firm z sek- formatyki śledczej oraz brak niezależnego podmio-
tora MŚP. tu, który przeprowadzałby działania w zakresie wymo-
gów i certyfikacji i wiedzy. Podobnie sytuacja kształtu-
Bit po bicie, czyli słów kilka na temat tzw. je się w przypadku sędziów, którzy wciąż jeszcze nie
„kopii binarnej”. akceptują, bądź nie mają wiedzy o przydatności elek-
Według światowych standardów, podczas proce- tronicznych środków dowodowych. Co prawda prowa-
su informatyki śledczej przy pozyskiwaniu materia- dzimy wewnętrzne szkolenia z udziałem ekspertów
łu do analizy należy wykonać tak zwaną kopię binar- zagranicznych, jednak wciąż brakuje w Polsce bie-
ną nośnika, na przykład dysku twardego, przy użyciu głych z odpowiednim doświadczeniem, wiedzą oraz
odpowiedniego oprogramowania. Może być również narzędziami.
konieczne użycie odpowiedniego sprzętu, tak zwa-
nych blockerów zapisu. Kopia binarna jest metodą Czy może Pan przybliżyć
kopiowania danych potocznie nazywaną bit po bicie. Naszym Czytelnikom cel prowadzonej
Oznacza to, że dokładnie każdy bit danych, znajdu- przez Państwa akcji Darmowy Dysk.
jący się na nośniku źródłowym, zostaje odczytany Kroll Ontrack posiada największą w Europie i jedną
z nośnika pierwotnego i zapisany na nośniku doce- z największych na świecie bazę dysków twardych.
lowym. Pomimo tego zdarza się, że trafiają do naszego la-
Wykonywane są dwie kopie binarne. Pierwsza boratorium nośniki, których nie było dotychczas w na-
z nich na potrzeby dowodowe, gdy zaistnieje koniecz- szej specyfikacji.
ność przedstawienia jej w postępowaniu dowodo- Dlatego też poszukujemy nośników o określonych
wym. Na drugiej kopii przeprowadzane są wszelkie- parametrach, które wykorzystywane są przy niektó-
go rodzaju analizy danych, ewentualnie odzyskiwanie rych procesach odzyskiwania danych, bądź do ce-
danych i łamanie haseł. lów badawczo-rozwojowych. Niektóre z nich, szcze-
gólnie w perspektywie wyjątkowo szybko rozwijającej
Czy Pana zdaniem Polacy są świadomi się branży IT, mogą wydawać się naprawdę przesta-
możliwości, jakie stwarza informatyka rzałe, jednak dla nas mogą być one przydatne. Dlate-
śledcza? go też osoby, które są w posiadaniu takich nośników
Pomimo rosnącej informatyzacji i dostępności usług i decydują się nam je przekazać nagradzamy możli-
IT, wiedza w zakresie możliwości jakie niesie informa- wością wymiany na nowy, pojemniejszy i zdecydowa-
tyka śledcza jest wciąż bardzo niska. Regularne ba- nie szybszy egzemplarz.
dania pokazują, że około 63 procent firm, które ucier-
piały w wyniku nadużyć biznesowych nie było świado-
mych możliwości wykorzystania dowodów elektronicz-
nych do rozwiązania problemu. Skala problemu jest
duża, szczególnie w kontekście strat, jakie może po-
nieść duża polska firma w wyniku utraty danych. We-
www.hakin9.org 47
FELIETON
Cyberwojna
Patryk Krawczyński
W
sztormie czarnej komunikacji Internetowej i represji prowadzonych przez państwa wobec innych
coraz więcej mówi się o cyberwojnach napę- narodowości.
dzanych teoriami szpiegowskimi. Mocarstwa Wojna w rozumieniu prawnym oznacza zerwanie
atakują mocarstwa. Giganci atakują gigantów. I z po- stosunków pokojowych i dyplomatycznych pomiędzy
wodzeniem dzień za dniem złowrogie pakiety przeska- co najmniej dwoma państwami i przejście do stosun-
kują na kolejne routery. W cyberprzestrzeni powstało ków wojennych. Mając to na względzie należy sobie
wiele pojęć, które nie do końca są zawsze dobrze ro- przypomnieć, jak w lipcu 2009 roku Magazyn Reuters
zumiane przez osoby spoza środowiska. Wzorcowym zasugerował cyberwojnę pomiędzy USA i Koreą Po-
przykładem jest prawidłowy wizerunek hackera w me- łudniową, a Koreą Północną. Trwające kilka dni ata-
diach, o co najmniej trzech odcieniach koloru. Nieste- ki oparte na technice DDoS (ang. Distributed Denial
ty z białego, szarego i czarnego wiele przekazów jest of Service) dotknęły 26 stron należących do minister-
wykonywanych w kolorach tęczy. stwa bezpieczeństwa wewnętrznego, obrony naro-
Pośrednio wynika to z młodego stażu wielu krajów dowej i finansów USA. Cztery dni później celem ata-
w świecie IT. Każda kultura wymaga lat, a nawet po- ków objęto południowokoreańskie strony, w tym rów-
koleń by dorosnąć do swoich czasów i możliwości. nież ministerstwa obrony. Jak wykazała analiza ata-
Podobnie jest w przypadku cyberwojny. Według in- ków dokonano za pomocą botnetu liczącego około 60
ternetowego słownika angielsko – polskiego wojna tysięcy komputerów pracujących pod kontrolą Win-
informacyjna jest synonimem informatycznej sztuki dows. Większa część komputerów (18 tysięcy) pocho-
wojennej, w której używane są informatyczne środ- dziła z Korei Północnej. Pierwsze podejrzenia padły
ki bojowe. Według Winn Schwartau jednego z czoło- na Koreę Północną mimo tego, że Koreańska Komisja
wych ekspertów ds. bezpieczeństwa teleinformatycz- Komunikacji nie potrafiła wykryć sprawców. Według
nego cyberwojnę można określić jako „elektroniczny wcześniej przedstawionych definicji w tego rodzaju in-
konflikt, w którym informacja jest strategicznym atu- cydencie powinno dojść kradzieży strategicznych in-
tem godnym zdobycia lub zniszczenia”. Z kolei Bru- formacji lub ich blokady. Niestety do przeprowadzenia
ce Schneier wspomina, że jest to po prostu „wojna ataku wybrano najprostszą z możliwych technik, bez
w cyberprzestrzeni”. Definicja Armii Stanów Zjedno- wkraczania w wyrafinowany hacking. Jedynym zablo-
czonych uwzględnia sformułowanie, w którym padają kowanym serwisem o bardziej kluczowej roli w struk-
słowa „destrukcyjnych działań lub zagrożeń podjętych turach biznesowej informacji był serwis internetowy
z premedytacją wobec komputerów i/lub sieci z za- nowojorskiej giełdy. Dlatego najbardziej trafnym okre-
miarem spowodowania szkody lub osiągnięcia ce- śleniem dla tego incydentu wystarczyło określenie cy-
lów ideologicznych (hacktywizm), religijnych, politycz- berataku, niż cyberwojny, która jak wiadomo znacznie
nych czy podobnych, a także zastraszenia osób w dą- bardziej podnosi wyniki sprzedaży swoim chwytliwym
żeniu do tych celów.” PC Magazine ewidetnie wyko- tytułem. Czy naprawdę technika DDoS na tak ma-
nuje krok w tył porównując termin ten do wojny infor- łą skalę może zostać uznana za element informacyj-
macyjnej nazywając ją także cyberterroryzmem, a nie nych działań wojennych? Ponieważ tego typu zdarze-
cyberdziałaniami wojennymi. W ramach takich dzia- nie można również rozpatrywać w stosunku do ska-
łań podejmowane są czynności siejące spustoszenie li i jego celów. Publiczne serwisy rządowe, które pod-
wśród komputerów odpowiedzialnych m.in. za zarzą- legają atakowi mają tylko na celu wprowadzenie naj-
dzanie giełdą, sieciami energetycznymi, kontrolą ru- większego rozgłosu dokonanego incydentu. Informa-
chu lotniczego i telekomunikacją. Chociaż termin ten cje zawarte na tego rodzaju stronach są dostępne pu-
głównie odnosi się do ataków przeciw państwom wy- bliczne i ich zanik nie powoduje większego paraliżu
korzystywany jest on również w stosunku do organi- czy dezinformacji w społeczeństwie ze względu, na
zacji i ogółu społeczeństwa. Na przykład wpuszcze- możliwość uzyskania ich za pomocą innego kanału
nie do sieci niszczących wirusów może zostać uzna- np. telefonicznego.
ne za informacyjne działania wojenne. Na podstawie Debata pomiędzy, niektórymi ekspertami ds. bez-
wszystkich tych definicji Ariel Silverstone określił cy- pieczeństwa krąży wokół słuszności terminu cyber-
berwojnę jako akt trwających ataków elektronicznych działań wojennych. Jedni uważają, że jest ona tyl-
48 7/2010
Cyberwojna
ko metaforą, a drudzy oświadczają, że państwa sta- do usunięcia pomnika Brązowego Żołnierza z parku
ją w dobie realnych zagrożeń pochodzących z te- w Tallinie w 2007 roku, miały nastąpić gwałtowne de-
go źródła. Prawdą jest, że technologia IT w dzisiej- monstracje na ulicach Estończyków pochodzenia ro-
szych czasach objawia się obok waluty jako kolejny syjskiego. Jednak Hillar Aarelaid, dyrektor estońskie-
instrument władzy. Wynika to z faktu globalnego do- go Komputerowego Zespołu Szybkiego Reagowa-
stępu do informacji, „a kto ma informację rządzi świa-
tem”. Dlaczego, więc nie ma stać się ona powodem „Nie wiem jaka broń będzie użyta
do ataków? Być ich celem i za razem źródłem. Celem
do osiągnięcia. Źródłem do zakłócania jej przepływu. w trzeciej wojnie światowej,
Wiele narodów posiada bardzo niskie bariery mogą- ale czwarta będzie na kije i kamienie.”
ce ochronić przed tego typu atakami. Dlatego Internet
stanowi doskonałe pole walki, które ma w swojej na-
Albert Einstein
turze wpisaną anonimowość. W 1993 roku John Arqu-
illa oraz David Ronfeldt przewidywali nadejście cza- nia z doświadczenia wiedział, że „jeśli toczą się walki
sów, w których forma prowadzenia działań wojennych na ulicach, będą też walki w Internecie”. Przewidując
zostanie sprowadzona do poziomu cyberprzestrzeni. to, nie miał jeszcze pojęcia o skali planowanych ata-
Gdyby wówczas ludzkość postawiła na rozwój podró- ków, które nieomal sparaliżowały całą internetową in-
ży kosmicznych, a nie komunikacji elektronicznej ana- frastrukturę kraju. Estonia jest już na tyle rozwiniętym
logicznie pole walk mogłoby się przenieść w inny wy- krajem pod względem IT, że dostęp do sieci interne-
miar niż Internet? Wraz z rozwojem samochodów ro- towej jest równie ważny jak bieżąca media (np. woda,
śnie liczba wypadków samochodowych. Wraz z roz- prąd, gaz). Internet w tym kraju używany jest do gło-
wojem informatyzacji krajów rośnie zjawisko wykra- sowania czy płacenia podatków, a przez telefony ko-
dania informacji z komputerów. Dziś wojnę prowa- mórkowe można bez problemu zapłacić za zakupy czy
dzi się na wszystkich możliwych polach. Najbardziej parkowanie. Skala tych przykładów wpasowuje się
popularnymi rodzajami wojen są wojny energetyczne w skalę i powagę w jakim można mówić o działaniach
i wojny informacyjne. W wojnach energetycznych po- wojennych w wirtualnym świecie. Pod koniec 2009 ro-
konuje się wroga fizycznie w otwartej walce, poprzez ku na zalecenie firmy McAfee został zlecony raport
atak fizyczny. W wojnach informacyjnych obezwładnia pt. „Virtual Criminology Report”, w którym zostały za-
się przeciwnika informacją – otumania się działaniami warte wypowiedzi ponad dwudziestu czołowych eks-
wywiadu, podszeptem agentury wpływu, propagandą pertów świata z dziedziny stosunków międzynarodo-
i manipulacją, a potem bierze się go w poddaństwo. wych, w tym dra Jamie’ego Saundersa, doradcy am-
Ciekawym przypadkiem jest równoległe prowadze- basady brytyjskiej w Waszyngtonie oraz ekspertów
nie działań zbrojnych i cybernetycznych, jakie mia- ds. bezpieczeństwa wcześniej pracujących dla ame-
ły miejsce w Gruzji 2008 roku. Dopełnieniem konflik- rykańskiej Agencji Bezpieczeństwa Narodowego (Na-
tu zbrojnego między Gruzją i Rosją były zmasowa- tional Security Agency ? NSA) i australijskiego Mini-
ne ataki na gruzińskie strony internetowe. Po rozpo- sterstwa Sprawiedliwości (Attorney-General’s Depart-
częciu działań wojennych, podmieniona została stro- ment). Przewiduje on, że „w ciągu najbliższych 20–30
na prezydenta Gruzji. Następnie ta i wiele innych ofi- lat cyberataki coraz częściej będą należeć do arse-
cjalnych gruzińskich stron rządowych, policji, agencji nału działań wojennych”, dzięki któremu ma być za-
prasowych, stacji telewizyjnych, a nawet najpopular- grożona infrastruktura o znaczeniu krytycznym (m.in.
niejsze gruzińskie forum hackerskie, zostały sparali- sieci energetyczne, transportowe, telekomunikacyjne,
żowane atakami DDoS. Różnicą pomiędzy tym przy- systemy finansowe oraz systemy zaopatrzenia). Ak-
padkiem, a przypadkiem Korei było jawne wypowie- tualnie media zbyt pochopnie wydają w nagłówkach
dzenie działań zbrojnych w rzeczywistości. Wojna zo- użycie tego terminu, zamieniając każdą cyberpotycz-
stała świadomie przeniesiona na dwie płaszczyzny, kę w silne, potężne, widoczne i odczuwalne uderze-
choć nie ma dowodów, że to rząd rosyjski był jednost- nia wojenne. Pierwszym paradoksem jest skala opisy-
ką, która zleciła wykonanie zakłóceń teleinformatycz- wanych wydarzeń, a drugim – większość z tych infra-
nych, o które oskarża się grupę Russian Business Ne- struktur w wielu krajach nie jest na tyle zinformatyzo-
twork. Ciekawym posunięciem władz gruzińskich by- wana, aby kliknięciem zakręcić wodę w kranie.
ło przeniesienie serwerów zlokalizowanych w Gruzji
do Stanów Zjednoczonych gdzie znalazły azyl. Wraz
z oficjalnym zawieszeniem działań zbrojnych, więk-
szość stron wróciła do normalnego trybu pracy. Bar-
dzo podobnym przypadkiem jest incydent w Estonii. PATRYK KRAWACZYŃSKI
Kiedy estońskie władze prowadziły przygotowania Kontakt z autorem: patryk.k@nfsec.pl
www.hakin9.org 49
ZAKOŃCZENIE
Słowo
kończące
Drodzy Czytelnicy,
Jak zwykle zapraszam osoby chętne do współtworzenia naszego pisma w nowej formie.
Jeżeli chcesz napisać ciekawy artykuł lub recenzować produkty to zgłoś się do nas.
Pozdrawiam
Katarzyna Dębek
50 7/2010